Seules 50% des suites de sécurité désinstallent les rootkit

Par ailleurs, les suites de sécurité n'ont détecté en moyenne que 66% des rootkit utilisés dans le comparatif d'AV-Test.org. Les produits spécialisés et les scanners en ligne sont également mis à l'épreuve.

Les rootkit, qui appliqués aux logiciels malveillants, permettent de les rendre invisibles, ou du moins furtifs, semblent toujours représenter une difficulté pour les logiciels de protection, et plus encore les suites de sécurité. Ces derniers affichent en effet des taux de détection et de désinfection faibles selon le dernier audit de l'association AV-Test.org, spécialisée dans ce type de tests.

AV-Test.org a ainsi soumis plusieurs solutions du marché spécialisées dans les rootkits, des suites de sécurité, et des scanners en ligne. Les tests ont également porté sur une comparaison entre les systèmes d'exploitation Windows XP (Home Edition SP2) et Windows Vista (Ultimate Edition, 32-bit, RTM). Le comparatif entre les solutions du marché a consisté à évaluer la détection des rootkit en mode inactif, c'est-à-dire avant une installation, mais aussi en mode actif, avec pour chaque étape 30 échantillons, dont certains rootkit relativement anciens.

Les test de l'AV-Test.org mettent en lumière des taux de détection très variables et soulignent également les performances largement perfectibles en la matière des suites de sécurité, surtout sur les rootkit actifs. Pour la détection des échantillons inactifs, les performances sont supérieures sur les suites par rapport aux scans en ligne. Sur les 7 suites de sécurité, elles ne sont que 3 à détecter l'ensemble des échantillons. Norton Internet Security 2008 obtient le plus mauvais score avec 25. Sur les scanners Web, seul BitDefender Online Scanner réussi un sans faute et Microsoft Windows Live Safety Scanner (version 1.1.3007.0) décroche la dernière place.

Les anti-rootkits spécialisés présentent un taux de détection de 80%

Toutefois la véritable épreuve pour ces produits de sécurité, et l'objectif de ce test, est d'évaluer leurs performances face à des rootkit actifs. Et si G DATA InternetSecurity 2008 était parmi les trois produits à réussir un sans faute sur les rootkit inactifs, il obtient sur cette deuxième épreuve un taux de détection de seulement 30%. Bullguard Internet Security Suite n'en détecte que 7 sur 30 et Norton 18. Parmi les suites de sécurité, c'est Avira AntiVir Premium Security Suite qui réalise le meilleur résultat avec 29.

Cependant pour obtenir un taux de détection de 100%, il faut se tourner du côté des logiciels spécialisés comme AVG Anti-Rootkit Free, GMER et Rootkit Unhooker LE et Trend Micro Rootkit Buster. Tous produits confondus, la moyenne de détection est de 80% pour les outils spécialisés, de 66% pour les suites et de seulement 53% pour les scanners Web. Sur cette dernière catégorie, BitDefender Online Scanner se classe largement dernier avec à peine 16% de rootkit identifiés.

Les éditeurs ont vraisemblablement encore des efforts à fournir, d'autant que les créateurs de virus combinent désormais des technologies de rootkit avec d'autres programmes malveillants afin de masquer leur activité. Et la détection de ces codes malveillants n'est guère concluante non plus comme en témoigne l'AV-Test.org. Parmi les suites de sécurité, seul Avira AntiVir Premium Security Suite réussit sans faillir, tout comme Avira RootKit Detection pour les anti-rootkits spécialisés.

32% de taux de désinfection pour les antivirus en ligne

Mais la détection n'est pas l'unique domaine où les logiciels de sécurité font preuve de faiblesse face aux technologies rootkit. En effet, la désinfection souffre elle aussi de sérieuses lacunes. Ainsi si Avira AntiVir s'est montré efficace en détection (29 sur 30), il n'est parvenu à désinstaller que 7 des rootkits actifs. Tout comme pour la détection, ce sont les logiciels spécialisés qui présentent le meilleur taux de désinfection. Il est ainsi en moyenne de 66% pour ceux-ci, contre 50% pour les suites de sécurité et 32% pour les scanners en ligne.

Outre la non-désinfection, l'AV-Test.org a identifié des cas plus graves débouchant sur un redémarrage de l'ordinateur, voire l'effacement de fichiers systèmes indispensables. Avira RootKit Detection a ainsi effacé plusieurs fois le fichier Windows explorer.exe, McAfee Rootkit Detective a lui renommé le même fichier à deux reprises. AVG Anti-Rootkit Free a sporadiquement succombé au même travers. Ces mauvaises performances rendent par conséquent parfois le remède pire que le mal.

En ce qui concerne Windows Vista, l'échantillon de rootkit était réduit à six (la plupart datés de 2005-2006, donc anciens) et les produits audités étaient uniquement des antivirus purs. Le taux moyen de détection des rootkits installés est de quatre sur six. Les antivirus réussissant un sans faute sur Vista sont Avira Antivir PersonalEdition Premium, CA Anti-Virus Plus 2008, F-Secure Anti-Virus 2008, Kaspersky Anti-Virus, Norton Antivirus 2008 et Panda Security Antivirus 2008.

Ces logiciels n'offrent pas pour autant des performances équivalentes en désinfection. Le taux de désinfection est d'ailleurs relativement faible pour les antivirus sur Vista, de l'ordre de 54%. Il est de 100% pour Norton, Panda et F-Secure. AVG Anti-Malware réalise lui l'impasse sur les rootkits, aussi bien en détection qu'en désinfection.