Les performances de protection

Le but de cette partie va être de comparer la protection offerte par chaque antivirus, en ne testant que leurs fonctionnalités antivirales. Là encore les tests ont été réalisés avec les antivirus maintenus à jour, sans firewall ni antispyware installé. Nous allons décrire, lors de mise en situation, les réactions de chaque antivirus face à des infections localisées, face à des mails infectés ou lors d’une navigation sur des sites peu recommandables.

Notez que n’étant pas spécialiste en sécurité antivirale, les virus que nous avons en notre possession ne sont issus que de nos propres postes de travail et des virus stockés dans nos boites mail (et ils ont nombreux). De ce fait nous ne pourrons affirmer ou infirmer que tel antivirus couvre la totalité des virus connus à ce jour. Nous nous contenterons de dire que dans notre utilisation de l’Internet, tel ou tel antivirus nous a offert une protection satisfaisante ou non.

De façon à pouvoir comparer le degré de protection offert par chaque antivirus, nous nous sommes mis dans la peau d'un utilisateur lambda souhaitant obtenir une sécurité maximale. Nous avons donc pour chaque antivirus configuré les différents types de protection proposés sur le maximum possible, mais sans jamais entrer dans les réglages avancés proposés.

Gestion des infections locales

Afin de tester la détection à la demande offerte par les différents antivirus, nous avons défini plusieurs protocoles de tests différents :

• un dossier contenant 75 fichiers infectés par 17 virus différents.
• un dossier contenant 95 fichiers infectés parmi 2943 fichiers de type différents.
• une analyse d’archives infectées.
• le comportement face à une tentative d’accès à des fichiers infectés

1. Analyse d’un dossier entièrement infecté

Le dossier en question contient donc 17 virus différents, au sein de 75 fichiers tous infectés. Voici les résultats des détections (toutes réalisées avec le maximum d’options d'analyse sélectionnées).

Six antivirus ont repéré correctement l’ensemble des virus présents. C'est donc McAfee et NOD32 qui sont tombés dans le piège de l’archive multi-infectée. En effet une de nos archives contenait 4 fichiers infectés, McAfee et NOD32 se sont arrêtés à la première infection détectée sans aller chercher plus loin. Le risque d'infection reste cependant minime puisque systématiquement cette archive fut supprimée.

Mise à jour : Les deux antivirus gratuits ajoutés au comparatif sont eux aussi tombés dans le piège de l’archive multi infectée, contrairement à PC-cillin et Panda qui ont trouvé 100% des fichiers infectés.

2. Analyse d’un dossier contenant des virus au sein d’une majorité de fichiers sains

Pour cette partie du test nous avons placé 98 virus au sein de plusieurs dossiers et sous dossiers. La majeure partie des ces virus sont les même que précédemment. Pour compliquer la tache des antivirus, nous avons ajouté des archives infectées ainsi que les dossiers temporaires d'Internet Explorer eux-mêmes infectés.

Comme vous pouvez le constater, le nombre de fichiers analysés varie énormément d’un antivirus à un autre. Les raisons en sont multiples : comptabilisation des fichiers inclus dans les archives ou de l’archive seule, comptabilisation des scripts inclus dans les pages web ou de la page web seule etc. Il ne nous a donc pas été possible de déchiffrer l’ensemble des rapports afin de savoir exactement pourquoi tel antivirus a analysé 50 fichiers de plus que le suivant, ce travail nous aurait pris trop de temps pour un intérêt discutable.

D’un autre coté, le nombre de fichiers infectés est connu, cela permet donc le calcul de pourcentages de détection. De plus, du fait d’un nombre de fichiers assez important, la vitesse d’analyse est elle aussi interprétable et intéressante à noter.

Ce que l’on peut retirer de ces résultats c’est qu’aucun des antivirus ne repère 100% des fichiers infectés. Après analyse des fichiers de log, il apparaît que les différences sont toutes liés à la détection de virus au sein des dossiers temporaires d’Internet Explorer (en dehors du problème de l’archive multi-infectée). Les fichiers en cause sont variables d’un antivirus à un autre, le virus non détecté est toujours un cheval de Troie, mais dont le type diffère là aussi à chaque fois.

Nous nous retrouvons donc avec deux gagnants incontestés : BitDefender, et F-secure. Si F-secure trouve un fichier infecté de plus que BitDefender, ce dernier a pour lui l'avantage de la vitesse de scan. Seul NOD32 met moins de temps à réaliser l’analyse, mais en testant moitié moins de fichiers et avec un taux de détection moins bon. Kaspersky se place juste après tout en étant plus lent, Norton et McAfee offrent une protection un bon cran en dessous pour leur part. Le cas de BullGuard et d’avast! est par ailleurs assez préoccupant, leur taux de détection est assez bas, sous la barre des 90 %. L’analyse des rapports de scan nous apprends alors qu’au sein des fichiers temporaires, seuls quatre virus sont identifiés par BullGuard et aucun par avast!. BitDefender en identifie 12... Cela ne laisse rien présager de bon pour la suite de nos tests …

Mise à jour : Malgré l’ajout de quatre nouveaux antivirus, aucun n’a été capable de trouver 100% des infections. Panda réussit tout juste à égaler les deux références de ce test : BitDefender  et F-secure, et ce avec une vitesse d’analyse tout à fait satisfaisante. PC-cillin rejoint Norton dans la catégorie des déceptions, avec tout juste 90% des infections détectées, nous étions en droit de nous attendre à mieux de la part d’un antivirus aussi répandu. Antivir fait un tout petit peu mieux qu’avast! sur ce coup là, ce qui reste honorable pour des logiciels gratuits. Pour sa part, AVG fait à peine mieux que BullGuard avec un taux de détection largement sous les 90%.