Vers un test standard pour évaluer les antivirus

Philippe Richard

01net.

le 06/12/2007 à 17h10

3 réactions

envoyer
par mail

imprimer
l'article

Différents éditeurs, parmi lesquels F-Secure, Symantec et Sunbelt Software, mais aussi des spécialistes des tests comme l’organisation universitaire allemande AV-Test.org et le magazine anglais Virus Bulletin ont annoncé un projet ambitieux. A l’occasion de la conférence AAVAR (Association of Anti Virus Asia Researchers) qui s’est tenue fin novembre à Séoul, ils ont décidé de créer l’Anti-Malware Testing Working Group. Le but : mettre au point un test d’antivirus reposant sur un protocole reconnu par les acteurs du secteur.

La détection des virus ne sera alors plus le seul moyen permettant de comparer des antivirus. Leurs comportements face à de nouvelles méthodes d’attaque et d’intrusion seront également évalués. Autant dire que la mise au point des protocoles de tests sera plus délicate à mettre en place et à être validée par tous les participants… L’Anti-Malware Testing Working se montre néanmoins optimiste puisque les premières ébauches de règles devraient être présentées début 2008.

Cette évaluation est censée apporter plus de clarté aux consommateurs et aux entreprises. Pour Laurent Heslault, directeur général adjoint sécurité de Symantec : “ Cette initiative consiste à définir des règles et des meilleures pratiques pour ces tests. Aujourd’hui, un trop grand nombre de sources, plus ou moins sérieuses, utilisant des méthodes d’évaluations parfois obscures, proposent des comparatifs de performance des produits de protection. Il est difficile dans ces conditions de se faire une opinion fiable de la qualité respective des acteurs en présence ”.

Les limites des antivirus

Cette annonce intervient au moment où les tests, utilisés actuellement, sont remis en cause par de plus en plus de spécialistes, qui les considèrent comme inadaptés.

Les codes malveillants ont en effet considérablement évolué ces dernières années, devenant de plus en plus furtifs. Autant de menaces difficiles à repérer et à éradiquer. Or, paradoxalement, les tests comparatifs actuels ne tiennent pas, ou peu, compte de cette évolution. Ils reposent toujours sur les mêmes protocoles. Les antivirus sont classés selon leur capacité à détecter le maximum de signatures virales auxquelles ils sont soumis. Celui qui en repère le plus est considéré comme le meilleur. A tort.

“ Cette obsession du 100 % de détection des virus connus cache l'échec de la détection comportementale des programmes hostiles. Bloquer les virus “ standards ” qui forment le bruit de fond de l'Internet est aujourd'hui une problématique maîtrisée par la plupart des organisations et des particuliers. Actuellement, n'importe quel antivirus du marché détecte un programme hostile connu... et laisse passer un programme hostile inconnu ou modifié pour échapper à cet antivirus ”, précise Renaud Feil, expert en sécurité chez Hervé Schauer Consultants.

Reste à savoir si cette initiative permettra de réduire les vulnérabilités… des antivirus. Selon la société spécialisée dans la sécurité informatique Secunia, 153 failles avérées ont été découvertes dans ces logiciels depuis 2002. Soit beaucoup plus que les failles des navigateurs Internet, pourtant montrés du doigt par certains éditeurs d'outils de sécurité.