Qui dit Internet dit danger… et donc sécurité. Gros enjeu pour les éditeurs chargés de proposer une parade à la cybercriminalité. Avec des suites de plus en plus complètes…
Vous vous croyez protégé parce que vous avez installé Avast! ou Norton ? Hélas, un antivirus n’est pas suffisant. Les dangers qui guettent votre ordinateur sont tellement nombreux qu’une suite de sécurité est désormais indispensable. Même si elle n’est pas pour autant infaillible. Car il faut bien se rendre à l’évidence que bien des ordinateurs sous Windows, même protégés, se retrouvent infectés. Comment est-ce possible ? Les raisons sont multiples, mais trois constatations majeures s’imposent. D’abord, Internet facilite la tâche des cybercriminels. En effet, avec un minimum de connaissances, chacun peut se connecter anonymement pour attaquer n’importe qui sur la planète. De plus, le réseau favorise les regroupements de personnes : des millions d’internautes qui utilisent les mêmes services et les mêmes logiciels deviennent des cibles identifiables et directement accessibles pour des cybercriminels poussés par l’appât du gain.Ensuite, aucune protection n’est parfaite et ne peut l’être. Fred Cohen, l’un des pères des antivirus, l’a même démontré mathématiquement ! Si les cybercriminels ont le choix de l’heure, du lieu et des techniques, les outils de sécurité ont la lourde tâche de tout protéger, en permanence, sans ralentir la machine ; ils doivent non seulement faire face à une grande quantité de menaces connues, mais aussi affronter tout un ensemble de dangers inconnus, qui prennent des formes nouvelles et trompent parfois l’utilisateur.Et c’est là la troisième constatation : la première cause d’échec des protections n’est autre que l’internaute lui-même. Car il peut arriver à tout le monde, même bien informé, de commettre une erreur. C’est d’autant plus fréquent que la cybercriminalité use – et abuse – de ce que l’on appelle l’ingénierie sociale : jouer sur les habitudes (qui entraînent de mauvais réflexes), les peurs, la flemmardise ou les envies pour amener la personne à s’exposer à des risques qu’elle sait parfois être totalement déraisonnables.
Un antivirus est-il encore utile ?
Même si la perfection n’est pas possible, les protections s’améliorent d’année en année, se révélant toujours un peu plus efficaces. Au point qu’aujourd’hui, une majorité d’utilisateurs s’estime suffisamment à l’abri avec des solutions gratuites. Il faut dire, qu’en France, ils sont désormais mieux informés des menaces qui les guettent, donc un peu plus prudents et difficiles à duper. Il est vrai qu’en associant Windows 7 (doté d’un noyau renforcé et d’un bon pare-feu) à Internet Explorer 9 (et sa protection par réputation SmartScreen) et à Microsoft Security Essentials (dont l’installation est automatiquement suggérée par Windows Update à tous les utilisateurs non protégés) ils disposent déjà d’une protection cohérente. À condition de choisir exclusivement IE9 pour naviguer, notre comparatif montre que cet ensemble établit un niveau de protection satisfaisant. Pour s’imposer, les suites doivent donc offrir davantage de fonctions, allant au-delà des protections basiques, tout en proposant une plus grande liberté sur les outils, notamment pour naviguer sur le Web. Mais toutes ne se valent pas, comme on peut le constater en examinant les modes d’infection des ordinateurs et les parades mises en œuvre par les éditeurs.
Des machines à jour
Aujourd’hui, l’une des premières causes d’infection reste le Drive By Download : un code d’attaque glissé dans une publicité ou dans le code même d’une page Web (les serveurs Web et les blogs sont souvent faciles à empoisonner de la sorte) et c’en est fini du PC qui s’y est connecté ! L’attaque fonctionne en exploitant une faille, ce qui permet de contourner les protections. Mais, ici, Windows n’est pas en cause : en 2011, aucune attaque de ce type n’a exploité de faille Zero Day (pour laquelle il n’existe pas de correctif) touchant l’OS de Microsoft. Les failles permettant les infections se situent en fait ailleurs, soit dans les versions non mises à jour d’Adobe Reader, de Flash ou de Java, soit dans les paramétrages de sécurité trop permissifs de l’utilisateur ! Certes, des suites comme Norton, McAfee, Avira ou F-Secure disposent de mécanismes de verrouillage des failles, mis à jour par Internet. Mais seules Kaspersky et BitDefender intègrent un outil d’analyse des vulnérabilités signalant les paramétrages dangereux et dénonçant les mises à jour manquantes. Panda aussi dispose d’une option similaire, mais son champ d’investigations est, à nos yeux, trop limité.
Une question de phishing
Autre grand fléau : l’hameçonnage, ou phishing. Autrefois réservé au courrier électronique, il s’est diversifié avec les réseaux sociaux. Nombre de liens postés via Twitter ou Facebook mènent à des pages ou à des applis en ligne qui n’ont d’autre vocation que de vous voler vos identifiants (ce qui donne ensuite accès à vos amis pour les duper), ceux de votre banque en ligne, de votre messagerie, voire de votre FAI (en premier lieu, Free, Orange et SFR). En la matière, les suites ont encore de gros progrès à réaliser. Les protections intégrées dans Google Chrome ou IE9 ne suffisent pas. Et seules BitDefender et Norton se distinguent notablement de la médiocrité des autres.
La nécessaire proactivité
Dernier fléau, les dizaines de milliers de malwares qui naissent chaque jour. Il ne s’agit pas d’autant de codes nouveaux, mais des mêmes souches diversement modifiées pour afficher une signature différente. Il faut le savoir, la plupart s’installent après une interaction avec l’utilisateur, qui a donc consenti à les exécuter, soit pour voir une vidéo illicite ou pirater un logiciel payant, soit pour avoir téléchargé un malware qui se faisait passer pour un programme très réputé (CCleaner, Flash Player, MSE, etc.).Ces variantes sont autant d’inconnues pour les antivirus qui doivent mettre en œuvre des techniques de détection des codes douteux et en interdire l’exécution. Avec son Sonar 4, Norton dispose d’une défense impitoyable. BitDefender et Kaspersky possèdent des fonctions comportementales très évoluées capables d’annuler les effets des codes malveillants. Kaspersky, Avast! et Comodo proposent un système de Sandbox (ou bac à sable) pour exécuter les programmes douteux sans compromettre son système.
Réactivité et réputation
L’autre moyen de lutter contre la prolifération de ces malwares, c’est de faire preuve de réactivité. Plus un antivirus est répandu, plus il a de chance de repérer les nouveaux dangers. Dès lors, les suites ayant des variantes gratuites comme Avira ou Avast! et, mieux encore, celles qui utilisent plusieurs moteurs comme GData, ont davantage de chances de réagir au plus vite.Toutefois, les cybercriminels visent justement à concevoir des codes indétectables par les antivirus les plus répandus (MSE, Avira, Avast!). Dès lors, il existe une autre technique, imparable cette fois : la réputation. Lorsqu’un fichier est téléchargé sur le PC, il est comparé à une base de connaissances. Un programme peu répandu, très peu utilisé et d’origine inconnue a de grandes chances d’être un nouveau malware. Ce procédé permet à Norton de briller dans nos tests depuis deux ans. L’idée se retrouve également chez Kaspersky et sera dans le futur Avast! 7. Elle est utilisée par Internet Explorer 9 et sa protection SmartScreen, qui sera implantée au cœur de Windows 8. Elle provoque plus de faux positifs, certes, mais elle vous met bien à l’abri.