La réputation de l’école de virologie informatique des pays de l’est et en particulier de la Russie n’est plus à faire. La plupart des meilleurs produits antivirus sont originaires de ces pays, plaçant ainsi l’Europe en position de leader incontestable dans ce domaine de la sécurité. Si certains de ces produits sont désormais bien connus du grand public, en partie grâce à leur qualité intrinsèque, mais surtout du fait d’un marketing de plus en plus agressif, d’autres moins connus se développent et leur éditeur mise essentiellement sur la recherche et le développement pour produire des logiciels antivirus de tout premier ordre. C’est du moins ce que ces nouveaux « tigres » de la virologie mettent en avant. C’est notamment le cas de l’antivirus Dr Web de la société russe Doctor Web, conçu par Igor Danilov, logiciel antivirus adopté par le ministère de la Défense russe, ainsi que par celui de l’Intérieur. Après quelques recherches, il est très vite apparu que ce produit commence à se tailler de belles parts de marché en Europe et notamment dans le monde gouvernemental et industriel, et ce, dans la plus grande discrétion. Une telle « carte de visite » ne pouvait que titiller notre curiosité et nous inciter à évaluer, sans aucune limite de moyens et d’approches, un antivirus aussi discret. Cet article présente les résultats détaillés et reproductibles, pour la plupart, de l’évaluation technique de cet antivirus, menée en toute indépendance. Au final, force est de constater que si le produit présente globalement certaines des faiblesses de ses concurrents et a pu ainsi être contourné, cela n’a pas été aussi facile que pour certains autres produits pourtant beaucoup plus répandus, et, globalement, ce logiciel est d’une excellente facture, justifiant sa progression discrète, mais certaine, sur le marché des logiciels antivirus.
1. Introduction
Évaluer un antivirus n’est jamais une chose facile. La détection antivirale étant par nature un problème sans solution [1], il s’agit de déterminer à quel point un produit donné est imparfait.
En prenant le point de vue de l’attaquant – qui finalement est le seul vraiment déterminant –, il s’agit de mesurer la facilité avec laquelle ce produit peut être contourné techniquement et opérationnellement ou, du moins, combien de temps il est capable de résister aux assauts d’attaquants déterminés.
La plupart des tests généralement utilisés ne sont malheureusement ni reproductibles [0], ni pertinents. Bridés par la seule vision de la défense, ils se contentent d’étudier les produits vis-à-vis d’une menace connue. Il s’agit le plus souvent de regarder comment se comporte un produit sur une base de codes malveillants connus et d’enregistrer les taux de détection (lesquels ne sont bizarrement que très rarement à 100 %...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première