Weissblick - Fotolia
Les systèmes de protection seraient eux-mêmes insuffisamment protégés
Ils ont la prétention de protéger serveurs et postes de travail des logiciels malveillants. Mais selon AV-Test, ils ne sont pas eux-mêmes forcément bien protégés.
Détourner ou compromettre un logiciel de protection de point de terminaison (EPP), c’est un peu comme accéder au Saint Graal pour des attaquants. Ce n’est d’ailleurs pas un hasard si Microsoft a entamé, dans la précipitation, la distribution d’un correctif pour son moteur de protection contre les logiciels malveillants : il présentait justement une vulnérabilité exploitable pour forcer l’exécution de code à distance sur les systèmes concernés. Et aujourd’hui, selon AV-Test, un nombre encore important de suites de protection des points de terminaison – serveurs et postes de travail – n’a pas recours à certaines technologies susceptibles d’améliorer leur propre sécurité.
Le laboratoire s’est ainsi penché sur treize suite d’EPP, s’interrogeant sur leur utilisation de la randomisation de l’allocation de mémoire vive (ASLR) et de prévention d’exécution de données en mémoire (DEP). Pour lui, AVG, Bitdefender, Eset, F-Secure, Kaspersky et Symantec s’avèrent là les plus rigoureux, mettant systématiquement en œuvre cette technique. Mais Trend Micro, McAfee, G Data et Sophos doivent encore « régler quelques détails » pour atteindre un taux d’utilisation de 100 %.
Des progrès restent également à faire en matière de signature des exécutables : Bitdefender, Eset, G Data, Kaspersky, Symantec et Trend Micro les signent tous. Mais ce n’est pas le cas des autres : AVG, Sophos et Symantec en oublient un (en version 32 bits), contre 4 pour McAfee. Et pour ce dernier, il s’agit de la version 64 bits où il fait là figure d’exception face à ses principaux concurrents.
Pour Maik Morgenstern, directeur technique d’AV-Test, les cas d’absence de signature relèvent de la « négligence » difficilement excusable. Quant à l’impasse faite par certains sur l’ASLR et la DEP, elle ne semble pas plus acceptable à ses yeux : « l’utilisation de ces techniques est vraiment simple et, comme le test le démontre, [certains] en sont bien capables ».
Pour approfondir sur Protection du terminal et EDR
-
Infostealers : une menace encore largement (trop) furtive
-
Protection des postes de travail et serveurs : Microsoft et CrowdStrike restent en tête (Gartner)
-
Pour Gartner, Microsoft et CrowdStrike dominent sur la protection des postes de travail et serveurs
-
L’avancée vers la fusion entre EDR et EPP se fait en ordre dispersé