On savait depuis longtemps que les antivirus n’étaient pas particulièrement efficaces face aux attaques ciblées. La seconde édition de l’atelier iAWACS (International Alternative Workshop on Aggressive Computing and Security), organisé à l’ESIA, l’a démontré. Et elle apporte, par la même occasion, des arguments aux responsables sécurité qui souhaiteraient challenger leur fournisseur d’antivirus.

Sur les quinze antivirus confrontés aux codes malveillants des participants (via l’insertion d’une clé USB piégée), aucun n’a su réellement protéger le client Windows 7 parfaitement à jour de ses correctifs.

Sur les sept attaques proposées, trois (en mode analyse en temps réel) et quatre (en mode analyse à la demande) sont passées totalement inaperçues aux yeux de la totalité des antivirus testés. Les autres ont été parfois bloquées, mais dans certain cas uniquement par l’affichage d’une alerte non-bloquante que l’utilisateur est en mesure d’ignorer (« telle application tente de modifier la base de registre – accepter / refuser »).

S’en sortent marginalement mieux que les autres Sophos, Kaspersky, G-DATA, BitDefender, DrWeb et F-Secure (mais tout est relatif…). Point intéressant, les résultats sont (à peine) meilleurs lors de l’analyse en temps réel que lors du contrôle à la demande.

Bien entendu, et comme lors de chaque mise à mal de la caste des antivirus, les débats seront probablement sans fin quant à la validité du protocole. Après tout, si un utilisateur accepte n’importe quoi il ne sert plus à grand chose de l’équiper d’un antivirus, non ? Mais l’on pourra aussi opposer qu’un bon antivirus ne devrait pas poser à l’utilisateur de questions auxquelles ce dernier n’est pas en mesure de répondre sans être un expert.

Bien sûr ces résultats – guère surprenants – ne militent pas pour autant en faveur d’un abandon de l’antivirus : celui-ci reste utile contre le tout venant. En revanche, ils pourront forcer les éditeurs d’antivirus à revoir leur copie sur certains points tels que l’information à l’utilisateur, par exemple.

Et du côté de l’entreprise, ils pourront peut-être contribuer à rediriger une partie des budgets antivirus (bien qu’ils ne doivent plus être très lourds) vers un programme de sensibilisation destiné à apprendre aux collaborateurs à répondre correctement aux questions qui mentionneraient la base de registre (ou le secteur d’amorce, ou le point d’entrée de l’exécutable, ou le templates de Word, ou… bref, oublions ! Mieux vaut améliorer les antivirus…)