Consommables : les fabricants de jet d'encre soupçonnés d'abus
Jerusalem
Se protéger au mieux des virus
20 mai 2002 à 00:00
Installation et administration F-Secure, Symantec et Trend Micro peuvent être déployés et configurés à distance sur plusieurs serveurs Exchange. Les autres (McAfee, Computer Associates) obligent à…
Installation et administration F-Secure, Symantec et Trend Micro peuvent être déployés et configurés à distance sur plusieurs serveurs Exchange. Les autres (McAfee, Computer Associates) obligent à une installation manuelle sur chaque serveur. Même inégalité à propos de l’administration. F-Secure, Symantec et Trend Micro sont totalement adaptés à une utilisation en entreprise : ils autorisent notamment une grande granularité dans leur configuration et se pilotent depuis une console unique. Celle-ci peut-être propriétaire ou n’être qu’un ajout à la MMC (Microsoft Management Console) de Windows. L’administration par le web est parfois même de la partie. Les deux autres concurrents, en revanche, font l’impasse sur de tels raffinements. InoculateIT, de Computer Associates, ne propose aucune fonction d’administration digne de ce nom, tandis que McAfee offre bien une extension de la MMC, mais elle est difficilement utilisable. Enfin, les rapports offerts à l’administrateur sont généralement de piètre qualité, et seuls F-Secure et Symantec ont pris la peine d’intégrer des fonctions de reporting pertinentes.
Détection de virus connus Tous les produits détectent correctement les virus connus. La plupart savent aussi intercepter un parasite dissimulé dans une archive ZIP compressée plusieurs fois, quel que soit le nombre d’itérations. Tous sont capables d’identifier un virus au sein de différents formats d’archives standards (ARJ, LHA, LZH, TAR, RAR) ou encodé au format UUE, un standard propre au courrier électronique. Même le format CAB, spécifique à Microsoft, est généralement reconnu. Seuls les formats de compression interne que sont UPX et Petite, souvent utilisés par les auteurs de virus, sont plus difficilement détectés. La lanterne rouge est F-Secure, peu à l’aise avec les formats d’archives ” exotiques ” et le codage UUE. C’est d’autant plus étrange qu’il intègre le moteur d’analyse de Kaspersky Antivirus, très performant dans ce domaine. Symantec AntiVirus, qui ne détecte pas un virus UUencodé dont l’extension a été modifiée, le repère si ce même fichier est compressé avec l’algorithme ZIP.
Détection de virus inconnus Contrairement à ce que prétendent les éditeurs, leurs produits sont incapables de protéger de menaces inconnues. Nous avons figé les bases de signatures virales des produits fin 2001, et leur avons soumis quatre parasites apparus début 2002 (Klez.E. MyParty.A, MyLife.F et Chick.B). Il s’agissait de menaces nouvelles, et bien réelles, puisque ces virus allaient déclencher plusieurs épidémies. Aucun antivirus n’a su les détecter. Et ce, alors que nous avions activé toutes les options de détection heuristique (analyse des comportements caractéristiques des virus). Même constat face à des codes malicieux non viraux (essentiellement des scripts ou des macros Word automatiques). Hormis McAfee Group-Shield, qui a su détecter nos macro-commandes inconnues, tous les produits laissent passer n’importe quel code malicieux intégré dans les courriers.
Richesse fonctionnelle Dans sa plus simple expression, un antivirus analyse le contenu des mails. Mais d’autres attributs peuvent se révéler pratiques, telle l’analyse sélective des boîtes d’e-mails, l’interception des pièces jointes sur la foi de leur extension ou encore des garde-fous destinés à repérer une épidémie. McAfee et Symantec proposent nombre d’options d’analyse (programmée, à la demande, incrémentielle, de tout ou partie des comptes…) et permettent de faire face à une épidémie en bloquant un flot soudain de courriers identiques. McAfee va plus loin en permettant à l’administrateur de définir une suite d’actions automatiques en réaction aux alertes.
Mise à jour Tous les produits testés autorisent des mises à jour automatiques depuis Internet, et ils s’en tirent plutôt bien. Tous permettent ainsi des actualisations programmées, incrémentielles et ” en cascade ” (un serveur déjà traité met les autres à jour par le réseau local). Les connexions aux serveurs de l’éditeur sont sûres. Mention spéciale pour F-Secure et Symantec, qui réalisent l’authentification des serveurs et le chiffrement des connexions grâce à un certificat numérique. Les autres produits assurent l’intégrité des fichiers de mise à jour en les signant (Computer Associates) ou en les chiffrant (McAfee, Trend Micro).
La méthodologie ‘objectif de ce comparatif était essentiellement de mesurer sur passerelle Exchange le pouvoir de protection de ces antivirus face aux virus non répertoriés. Nous avons donc gelé les mises à jour des produits entre le 28 décembre 2001 et le 2 janvier 2002, afin de les exposer à des virus apparus ultérieurement (février et mars 2002), qui leurs étaient donc parfaitement inconnus. Nous avons aussi testé la capacité des antivirus à analyser différents formats d’archivage et de compression. Nous leur avons, pour finir, soumis différentes menaces non-virales, telles que des macros Word ou des scripts malicieux. Bien sûr, notre laboratoire à également évalué les habituels critères que sont la richesse fonctionnelle et autres ” facilités ” telles que la mise à jour, ladministration ou de reporting. Les produits étaient installés sur un serveur Compaq Prosignia 700/256 doté de Exchange 2000 SP2 us.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp .