Comment évalue-t-on la qualité d’un antivirus ?
Dans la grande majorité des esprits, une solution antivirale est d’autant plus performante qu’elle semble répandue parmi les utilisateurs qui suivent les tendances des commerçants sur le marché local. Pourtant, il ne suffit pas d’avoir un antivirus reconnu comme tel pour s’estimer protégé comme on le souhaite ou en fonction des enjeux auxquels on est confronté. Qui plus est, tous les niveaux de protection ne se valent pas, tant de nombreux critères doivent être pris en compte pour évaluer la qualité d’un antivirus. Mais, comment faire ? De quels indicateurs s’agit-il concrètement, comment sont-ils évalués et quelles sont les sources auxquelles se fier pour une évaluation pertinente ?
Les acteurs impliqués dans les tests d’antivirus
Parmi les acteurs impliqués dans les tests des solutions antivirales on trouve des revues, diverses sources d’informations comparatives et surtout, des laboratoires aux premiers rangs desquels :
- AV-Comparatives : organisation indépendante autrichienne qui dispose d’un laboratoire permettant d’effectuer des tests séparés, afin d’évaluer les fonctions les plus importantes d’un antivirus : protection dans des scénarios réels, détection des fichiers infectés (tests classiques), performances, etc. Une fois par an, tous ces tests permettent à AV-Comparatives d’annoncer sa plus haute récompense dénommée « Produit de l’année », ainsi que des récompenses d’or, d’argent et de bronze pour chaque type de test. Toutefois, des résultats intermédiaires de son test dit réel, sont publiés chaque mois. Celui-ci contient des informations sur les menaces actuelles que toutes les solutions antivirus populaires ont pu bloquer.
- AV-TEST : propose des certifications décernées tous les deux mois sur une base initiale de trois catégories de tests à savoir : protection, réparation et convivialité ; chacune d’entre elle étant notée de 1 à 6. Chaque solution capable d’avoir la note de 11 ou plus, obtenait jusque-là un certificat AV-TEST. Mais depuis peu, d’autres facteurs ont été ajoutés aux tests à savoir : le taux de détection, le taux de réparation, le nombre de faux positifs et le niveau de ralentissement du système. De plus, la catégorie Réparation a été retirée des tests et la note minimale pour l’obtention d’un certificat a été abaissée à 10 points.
- Dennis Technology Labs: est un laboratoire de tests britannique dirigé par Simon Edwards et qui produit des rapports trimestriels en se basant sur divers facteurs lui permettant d’attribuer une note finale à savoir : la capacité à détecter les logiciels malveillants, la capacité à traiter les infections ainsi que la fréquence des faux positifs.
- VirusBulletin: magazine publié depuis 1989, représente une ressource digne de foi dans le domaine des tests antivirus qui décerne ses propres certificats VB100. Cette source est d’autant plus respectée que seules les solutions qui détectent 100 % des échantillons infectés et produisent 0 % de faux positifs se voient attribuer des certificats. Pour ce faire, VirusBulletin effectue un test « classique » plutôt que « réel » au cours duquel, les produits évaluent une collection de fichiers comprenant un petit nombre de virus actuels. Il faudrait toutefois noter que la certification VB100 ne prend pas en compte les performances et la qualité de la réparation des fichiers infectés.
Critères d’évaluation et types de tests
Au regard du listing des principaux acteurs impliqués dans l’évaluation des solutions antivirales, plusieurs types de tests et critères sont utilisés par les uns ou les autres, leur permettant ainsi de publier un classement ou de décerner une certification. Explorons un peu plus en détails ce à quoi renvoient concrètement lesdits critères et/ou tests.
Test selon une approche « classique »
L’approche classique peut être implémentée de plusieurs manières mais en général, l’analyse repose sur un dossier contenant des milliers de fichiers contenant des milliers de programmes malveillants actifs de différents types. L’évaluation de la qualité de l’antivirus tient compte de plusieurs paramètres dont le taux de fichiers malveillants détectés qui, dans le meilleur des cas, devrait être de 100%. Un autre taux idéal devrait être un pourcentage de faux positifs à 0%. En d’autres termes, les fichiers « propres » contenus dans le dossier analysé par la solution antivirale devraient tout simplement être ignorés.
Test selon une approche « monde réel »
Un test en situation réelle simule des situations dans lesquelles des sites Web malveillants ou infectés et des pièces jointes sont ouverts sur un ordinateur protégé puis, calcule le pourcentage de menaces détectées et bloquées avant qu’elles ne pénètrent dans le système. Cette méthode offre comme avantage de pouvoir vérifier toutes les technologies de protection intégrées dans un produit à l’aide des toutes dernières menaces (réelles).
Simulation d’attaques avancées (tests ATP par AV-Comparatives)
Chaque année, AV-Comparatives propose aux éditeurs d’antivirus des scénarios d’attaque complexes afin de déterminer vers quel produit les consommateurs devraient se tourner, la plupart ne prennent part qu’à la série annuelle de tests principaux, n’osant pas se soumettre à l’essai facultatif Advanced Threat Protection (ATP), qui examine les performances des produits face à des méthodes d’attaque ciblées très spécifiques.
En effet, un test ATP simule des attaques avancées généralement menées par des adversaires de haut volt contre des cibles de premier plan. Initialement axée uniquement sur des scénarios d’entreprise, l’évaluation ATP teste désormais en plus, les attaques dans le domaine grand public, car les adversaires ciblent de plus en plus nos appareils personnels en utilisant les mêmes tactiques que celles utilisées dans les attaques de grande envergure.
Ainsi, le test imite les tactiques, techniques et procédures (TTP) utilisées par les acteurs malveillants pour prendre pied, éviter d’être détecté et se déplacer latéralement à travers le réseau cible au point par exemple, de conduire au vol de données d’identification, l’infection de supports amovibles, des exploits impliquant des relations de confiance, etc.
Dans l’image ci-dessus, nous pouvons par exemple noter les différents résultats obtenus par Bitdefender, ESET, Kaspersky, G Data, AVG, Avast et Avira au cours des tests ATP effectués pour l’année 2023 par AV-Comparatives, permettant de voir le nombre d’attaques bloquées avec succès sur 15.
Critères additionnels pris en compte lors des différentes approches de tests
L’activité d’un antivirus n’est pas sans effets secondaires sur un ordinateur, ou sur le travail d’un utilisateur en termes de performances, d’ergonomie, d’expérience utilisateurs ou autres. Ainsi, plusieurs autres critères au-delà des ratios fondamentaux requis par l’un des types de tests sus-évoqués. Il s’agit notamment de :
- Ralentissement de la machine : une solution antivirale ne devrait ni ralentir le système, ni déranger les utilisateurs avec des notifications, ou des pop-up à répétition qui finiront par lasser l’utilisateur, obligé dès lors, de les ignorer non sans conséquence sur l’efficacité de la protection. Le défi à relever par les éditeurs ici, est donc de pouvoir trouver un équilibre entre la sécurité et les performances de l’ordinateur.
- La qualité de réparation des fichiers : après une infection réussie par un programme malveillant, ce critère permet de mesurer à quel point la solution testée permet de restaurer un fichier endommagé comparativement avec son état initial.
Lors du choix d’un antivirus ou de tout autre équipement informatique, nous ne devons jamais perdre de vue nos besoins car, c’est par là que tout commence : de quel niveau de sécurité avons-nous besoin ? Pouvons-nous l’estimer au regard de nos usages : beaucoup d’internet, fréquentation de sites non contrôlés par des tiers partageant la même machine que vous ? Usage de supports amovibles variés à l’instar des clés USB, disques durs, etc ? Messagerie à risque avec des pièces jointes susceptibles d’être téléchargées ? Multitude de comptes et de mots de passe sur internet ?
Ayant conscience du contexte d’insécurité dans lequel nous évoluons et désormais aguerris à la recherche des bons indicateurs nous permettant d’évaluer un antivirus, il nous sera plus aisé d’accepter ou non certains risques au regard des performances relevées à l’issue des tests opérés par le laboratoire de notre choix. Les résultats des tests opérés suivant une approche classique, monde réel ou encore via des simulations avancées (tests ATP), nous permettront de jauger du niveau d’efficacité des différentes versions d’antivirus mises sur le marché au cours de l’année, en termes de détection des fichiers réellement infectés ou de succès pour un scénario donné, du nombre de faux positifs ou de fichiers détectés comme infectés alors qu’ils ne le sont pas, non sans oublier, des critères additionnels notamment liés aux performances de l’ordinateur ou à la qualité de réparation des fichiers infectés. Toutefois, notre processus d’achat ne s’arrêtera pas là dans la mesure où l’antivirus choisi dispose de plusieurs options entre les versions de base, internet, totale, celles proposant des mécanismes de chiffrement, de protection de mots de passe, etc. Après avoir bien jaugé le niveau de performance, il faudrait également pouvoir mesurer l’étendue de la protection allant de notre simple système local à internet, avec ou sans des fonctions optionnelles. Comprendre la différence entre les différentes versions et options proposées par un antivirus fera l’objet du post suivant.
Références :
- https://www.bitdefender.com/blog/hotforsecurity/bitdefender-triumphs-in-av-comparatives-2023-advanced-threat-protection-test/?cid=emm%7Cc%7Cemrs%7Cav_test_impact%7Cfr&sc_src=email_817873&sc_customer=7077b4511c68acefe3326369a06cb122055f1dad4fed23d21942cdad1fd118ab&sc_lid=12987694&sc_llid=186308&sc_uid=NW5I54ukg1%2F%2F
- https://www.kaspersky.com/blog/antivirus-comparisons/1848/
- https://en.wikipedia.org/wiki/AV-Comparatives
- http://www.av-comparatives.org/
- http://www.av-test.org/en/home/
- http://www.dennistechnologylabs.com/
- https://www.virusbulletin.com/
- https://www.kaspersky.fr/blog/comprendre-les-tests-comparatifs-antivirus/964/
- https://encyclopedia.kaspersky.fr/knowledge/antivirus-programs-their-quality-and-issues/
- https://www.av-test.org/fr/nouvelles/test-de-la-performance-de-reparation-de-17-suites-logicielles-apres-des-attaques-de-programmes-malveillants/