Télécharger autant PDF - AV-Test

29 juillet 2014
Créée par Markus Selinger
Test de la performance de réparation de 17
suites logicielles après des attaques de
programmes malveillants
Est-ce que les suites de logiciels antivirus ou les outils de récupération et de nettoyage peuvent entièrement nettoyer
et réparer un système Windows qui a été infecté par un logiciel malveillant ? Les experts du laboratoire d'AV-TEST
ont répondu à cette question dans le cadre d'un test en continu très complet d'une durée de 10 mois. Resultat : la
réponse est oui !
De nombreux utilisateurs ont déjà fait l'expérience de cette véritable catastrophe : un logiciel malveillant surmonte les obstacles
de sécurité de votre système puis s'y installe. Après une telle attaque, est-il vraiment possible de restaurer l'état préalable de
votre système Windows ? Des logiciels antivirus ou des outils de nettoyage sont censés vous y aider. Dans quelle mesure ces
outils remplissent-ils leur fonction ?
Cette question a été résolue par le laboratoire d'AV-TEST dans le cadre d'une grande évaluation. Ce faisant, 10 solutions
antivirus et 7 outils de nettoyage spécifiques ont non seulement dû nettoyer les systèmes infectés mais aussi les réparer
intégralement.
Lors du test, les suites de protection suivantes ont été analysées :
- 3 solutions gratuites répandues : Avast! Free Antivirus 9.0, AVG AntiVirus Free 2014, Avira Free Antivirus
- la solution Malwarebytes Anti-Malware recommandée par de nombreux magazines informatiques
- la protection Microsoft Security Essentials incluse dans Windows
- cinq autres solutions payantes de renom de Bitdefender, ESET, F-Secure, Kaspersky et Norton.
De plus, les outils de nettoyage et de récupération suivants ont aussi été testés :
- les outils Avira Cleaner et Hitman Pro recommandés par l'initiative « Botfrei.de »
- Disinfect2013 des éditions Heise spécialisées dans l'informatique
- les quatre outils gratuits et réputés F-Secure Removal Tool, Kaspersky Removal Tool, Panda Cloud Cleaner et Norton Power
Eraser.
Procédure du test
Durant ce test en continu, les solutions logicielles ont été évaluées pendant une durée de 10 mois, allant de septembre 2013 à
juin 2014, en ce qui concerne leur performance de nettoyage et de réparation. Durant toute la durée de l'essai, différentes
familles de logiciels malveillants ont régulièrement été testées puisque ces dernières se développent sans cesse.
Les échantillons de logiciels malveillants étaient connus de toutes les solutions et devaient par conséquent toujours être
identifiés. Dans les tableaux du test, la qualité du nettoyage et de la réparation a été évaluée selon les critères suivants :
1. Le programme malveillant a-t-il été identifié ou non ?
2. Les composants actifs ont-ils entièrement été supprimés ?
3. Des fragments de fichiers inoffensifs ont-ils été conservés et toutes les modifications du système ont-elles été annulées ?
4. Le logiciel de protection ou de nettoyage a-t-il tout parfaitement supprimé et restauré ?
Le tableau affiche ensuite en pourcentage la performance globale en matière de nettoyage et de réparation.
Test des logiciels antivirus
Le test a été divisé en deux scénarios d'infection typiques pour les solutions antivirus.
1. Le logiciel de protection est installé sur un système déjà infecté par un logiciel malveillant puis l'identification, le nettoyage et
la réparation des dommages sont consignés.
2. La solution de protection est brièvement désactivée, le logiciel malveillant est exécuté et la protection est réactivée. Ici aussi,
l'identification, le nettoyage et la réparation sont consignés.
Cette subdivision doit simuler ce qui se passe lorsqu'un utilisateur installe le logiciel après coup ou lorsqu'une suite de protection
installée ne reconnait le programme malveillant qu'après une certaine durée et qu'elle veut alors corriger les dommages. Les
logiciels protecteurs ont dû combattre 30 échantillons de logiciels malveillants à chaque étape.
Test des outils de récupération et de nettoyage
Les outils de nettoyage ne sont généralement utilisés qu'après une infection réussie par un programme malveillant. C'est
exactement cette situation qui a été évaluée lors du test. Chacun des 7 outils a dû éliminer 55 échantillons de logiciels
malveillants introduits dans le système ainsi que leurs dommages.
Ces outils aussi connaissaient déjà leurs attaquants. En effet, le but du test était d'évaluer la performance de réparation et non
celle d'identification
Plateforme d'essai et environnement
Ce test en continu, de même que tous les autres tests d'AV-TEST, a exclusivement été effectué sur de vrais ordinateurs, cette
fois cependant sur Windows 7. La raison est simple　: certains échantillons de programmes malveillants reconnaissent s'ils se
trouvent dans un environnement virtuel. Dans ce cas, il serait possible que les programmes malveillants ne se déploient pas
entièrement. En utilisant un ordinateur réel, le scénario est aussi réaliste que la situation vécue par l'utilisateur normal.
Le test en laboratoire est particulièrement coûteux puisque chaque plateforme a dû être infectée individuellement par un
échantillon de programme malveillant. Les suites de protection ont ensuite été installées ou réactivées ou bien les outils de
nettoyage ont été exécutés. Enfin, le système nettoyé a toujours été comparé avec le système d'origine. Avec au total 60 ou 55
échantillons de programmes malveillants et 10 suites de sécurité ainsi que 7 outils, le laboratoire a effectué 985 tests distincts
sur une durée de 10 mois.
Analyse
Pour les deux groupes du test, c'est-à-dire les suites de protection et les outils de récupération, les différentes valeurs du test
ont été inscrites dans le tableau selon le schéma de risque décroissant suivant :
1. Programme malveillant non identifié
2. Composants actifs du programme malveillant non supprimés
3. Fragments de fichier inoffensifs non éliminés
4. Suppression complète et système nettoyé
Résultat n°1 : programme malveillant non identifié
Ici, tous les candidats au test devraient afficher un 0 puisqu'avant chaque test d'un échantillon de logiciel malveillant, il a été
vérifié que la solution le connaissait.
Dans le cas des suites de protection, des logiciels malveillants connus de Microsoft Security Essentials et d'Avira Free Antivirus
n'ont pas été identifiés en tant que tels. Cela ne devrait pas se produire.
Les sept outils de nettoyage n'ont pas fait d'erreur lors de cette reconnaissance fondamentale.
Résultat n°2 : Composants actifs du programme malveillant non supprimés
Dans ce cas, le programme malveillant a certes été identifié, certains fichiers ont été supprimés, mais le cœur du programme
malveillant n'a pas été neutralisé. Le système reste donc infecté.
Parmi les 10 suites de sécurité, les solutions gratuites d'Avira, Avast et AVG ainsi que Microsofts Security Essentials ont posé
quelques problèmes. Elles ont laissé des composants actifs dans le système, et ce, de 1 à 7 reprises. Les autres produits
payants ainsi que le produit gratuit Malwarebytes Anti-Malware ont ici fait preuve d'un nettoyage irréprochable.
Parmi les 7 outils de nettoyage, plus de la moitié des participants a échoué dans cette tâche essentielle. Hitman Pro, Panda
Cloud Cleaner, Avira Cleaner et l'outil F-Secure Removal n'ont pas réussi à supprimer entre 1 et 11 composants actifs.
Seuls Kaspersky Removal Tool, Norton Power Eraser et Disinfect2013 de Heise remplissent ici leur fonction de manière fiable.
Résultat n°3 : fragments de fichier inoffensifs non éliminés
Cette catégorie consigne les fichiers résiduels inoffensifs qui subsistent après le nettoyage d'une attaque par un programme
malveillant. Ce faisant, il s'agit généralement d'autres fichiers non dangereux ou d'entrées orphelines dans le registre Windows.
Entre 1 et 9 fois, les suites de protection de Bitdefender, F-Secure, Kaspersky, Norton et ESET ont laissé de petits fragments de
fichiers et des entrées insignifiantes dans le registre. Ainsi, elles se situent qualitativement juste derrière Malwarebytes AntiMalware qui fait preuve d’une prestation irréprochable.
L'outil de nettoyage Kaspersky Removal Tool n'a oublié qu'à une reprise de supprimer un fichier inoffensif. Il a rempli toutes ses
autres tâches avec brio.
Norton Power Eraser est passé à côté du nettoyage parfait à 11 reprises et Disinfect2013 de Heise l'a raté pas moins de 48 fois.
Toutefois, ils n'ont laissé dans le système que des déchets informatiques sans composants dangereux.
Résultat n°4 : Suppression complète et système nettoyé
Parmi les suites de protection, seule la solution Malwarebytes Anti-Malware a restitué un système entièrement nettoyé et réparé
lors de chacun des 60 tests.
La suite de Bitdefender l’a réalisé 59 fois. Les solutions de sécurité de F-Secure et Kaspersky ont respectivement atteint ce
résultat 56 fois, elles ont chacune seulement oublié des entrées inoffensives dans le registre. Mises à part ces deux exceptions,
elles ont également démontré une performance quasi irréprochable.
Parmi les outils de nettoyage, aucun des outils n'a pu restituer un système complètement nettoyé lors de tous les 55 tests. Seul
le produit Kaspersky Removal Tool a fait preuve d'une performance remarquable. Il n'est passé à côté de la restitution parfaite
du système qu'en raison de l'oubli d'un seul fichier résiduel inoffensif.
Bilan : il existe des logiciels pour le jour d'après
Le résultat des tests contredit l'affirmation fréquemment avancée dans les forums et voulant que la suppression soit la seule
solution possible pour un système Windows infecté par un logiciel malveillant.
Parmi les suites de sécurité, les solutions de Malwarebytes, Bitdefender et Kaspersky ont démontré la meilleure performance de
toutes les suites testées. Au final, les autres produits ont également atteint d'assez bons résultats, même si certains
composants actifs n'ont pas été éliminés.
En ce qui concerne les outils de nettoyage gratuits, Kaspersky Removal Tool est digne d'une recommandation. L'outil de Norton
et Disinfect2013 de Heise ont certes laissé un assez grand nombre de fichiers issus du programme malveillant mais ils n'ont pas
oublié un seul composant actif de ce dernier.
La conclusion à tirer de ce test est la suivante : en cas d'échec d'une suite de protection installée, il existe des outils fiables qui
peuvent nettoyer et réparer un système Windows. Et pour couronner le tout : la plupart des outils peuvent même être utilisés
gratuitement en situation d'infection.

Test de réparation : la performance de 10 solutions antivirus en matière de nettoyage et de réparation a été testée lors de deux scénarios d'attaque typiques
(test en continu d'AV-TEST de 09/13 à 06/14).

Résultat global : la plupart des solutions antivirus ont obtenu de très bons résultats lors du test de réparation. Certaines ont certes laissé quelques déchets
informatiques mais ces derniers n'étaient pas dangereux (test en continu d'AV-TEST de 09/13 à 06/14).

Outils de récupération et de nettoyage : la performance de nettoyage et de réparation des outils de secours classiquement utilisés en premier a également été
testée lors de deux scénarios d'attaque typiques (test en continu d'AV-TEST de 09/13 à 06/14).

Outils de récupération et de nettoyage : la plupart des outils de secours utilisés suite à une attaque par un logiciel malveillant ont su convaincre lors du test. Ils
ont eux aussi effectué un nettoyage et une réparation assez fiable (test en continu d'AV-TEST de 09/13 à 06/14).

Malwarebytes Anti-Malware Free: parmi les solutions antivirus, ce logiciel a atteint un résultat de réparation parfait. Grâce à leur bonne performance, les suites
de Bitdefender, Kaspersky, Norton, ESET et F-Secure le suivent de très près.

F-Secure Internet Security 2014: ce logiciel antivirus a également su convaincre les testeurs par la qualité de sa réparation lors du grand test en continu.

Kaspersky Removal Tool: l'outil de secours gratuit a restitué un système complètement réparé lors des 55 attaques testées. À une seule reprise, il a oublié un
fichier insignifiant.
Copyright © 2016 by AV-TEST GmbH, Klewitzstr. 7, 39112 Magdeburg, Germany
Phone +49 (0) 391 60754-60, Fax +49 (0) 391 60754-69, www.av-test.org