Découvrez quels logiciels de protection ont résisté aux chevaux de Troie des cybercriminels commandités par l’État

  • juillet 27, 2015
  • 6 min read

Typiquement, les développeurs de logiciels anti-malware testent leurs produits en laboratoire pour en renforcer la crédibilité. Le tollé récemment déclenché par les récentes fuites sur les sociétés de surveillance a permis que soient divulguées de nouvelles données nous permettant de mesurer l’efficacité réelle des produits anti-malware populaires en termes de détection de menaces indésirables.

Qu’ont en commun les sociétés de surveillance et les programmes anti-malware ?

La controverse qui entoure les grandes sociétés de surveillance ne passe pas inaperçue, et pour de bonnes raisons. Ces entreprises aident leurs clients (souvent des organismes gouvernementaux) à espionner des particuliers mais aussi  d’autres organisations ou pays.

Bien que nombreux soient ceux qui prétendent le faire pour la sécurité de leurs clients, les grands gouvernements contractent souvent de telles sociétés qui se spécialisent dans la fabrication de logiciels malveillants et la violation de la vie privée des personnes modestes. Ces entreprises développent leurs programmes malveillants en étudiant de près les logiciels anti-malware : en effet, il leur faut tester les principaux logiciels anti-malware afin de développer des chevaux de Troie indétectables, capables d’infecter les systèmes.

Normalement, ce genre d’informations internes n’est jamais dévoilé car lesdites entreprises conservent des données très sensibles concernant leurs produits et leurs clients, pouvant réellement compromettre les agences de renseignement internationales.

Toutefois, les récentes fuites de grande envergure survenues au cours des douze derniers mois ne sont pas seulement politiques, elles sont également très pratiques. Nous allons regarder de près ci-dessous deux des piratages de surveillance qui révèlent quels fournisseurs de logiciels anti-malware sont en fait les plus efficaces en matière de protection de votre ordinateur contre les programmes indésirables.

Le cheval de Troie de Hacking Team détecté par 5 des 34 fournisseurs d’antivirus

Hacking Team est une société basée à Milan qui fournit une technologie de surveillance à des clients dans le monde entier, y compris des agences gouvernementales dans les pays tels que la Russie et les États-Unis.

Début juillet, un pirate anonyme a publié un torrent de 400 Go de données de l’entreprise. Ce dossier comprenait du code et des communications internes, ainsi que des dossiers de tests de logiciels anti-malware. Cette capture d’écran d’un de leur document interne reprend un certain nombre de fournisseurs d’anti-malware et les performances du cheval de Troie de Hacking Team, Galileo, lors des tests de performance contre certains de ces produits.

Emsisoft Anti-Malware mis sur liste noire par Hacking Team

Emsisoft Anti-Malware mis sur liste noire par Hacking Team – Source : Hacking Team

Vert signifie que le maliciel a outrepassé l’antivirus et a été capable d’infecter le système. Jaune signifie qu’il a été capable d’infecter le système et est devenu opérationnel, mais au cours de ce processus des fenêtres intempestives non spécifiques se sont affichées (comme une alerte générique du pare-feu). Rouge signifie qu’un événement de détection de logiciels malveillants a bien eu lieu. Le cheval de Troie de Hacking Team a mis sur liste noire un petit nombre de fournisseurs. Cela signifie que le maliciel n’a pris la peine de rien entreprendre après avoir détecté qu’un logiciel de protection spécifique était en cours d’exécution. Il reste donc caché, mais par là même n’est pas en mesure d’espionner. Comme vous pouvez le voir dans le tableau complet, seulement 5 des 34 fournisseurs furent capables de détecter le maliciel de Hacking Team.

FinSpy, le maliciel de FinFisher, capable de déjouer 31 des 35 fournisseurs

FinFisher est une société basée en Allemagne qui a développé des programmes permettant aux gouvernements de surveiller les citoyens. Ce type de surveillance, appelé « maliciel légal d’interception » est très controversé car on peut se demander si ces programmes contribuent réellement à protéger les individus.
En septembre 2014, Wikileaks a pris position contre FinFisher et accusé la firme de surveillance de vendre leurs produits et services à des régimes oppressifs. Cette fuite concernait le maliciel de l’entreprise ainsi que des documents internes. Parmi les informations divulguées, nous avions découvert un tableau listant des logiciels anti-malware et renseignant les programmes que leur logiciel malveillant FinSpy avait réussi à duper et ceux qui n’avaient pas fléchi.

FinFisher avait testé différents programmes avec différentes versions de son cheval de Troie et enregistré comment les différents programmes anti-malware avaient répondu à chaque menace. Le tableau suivant donne un aperçu des résultats. Dans la colonne « Full Trojan » (Install Admin) [Cheval de Troie actif (Installation Admin)], il vous est possible de voir quels fournisseurs ont signalé ou bloqué le cheval de Troie actif.

FinSpy n’a pas été capable de duper Emsisoft – Cliquez ici pour consulter toute la liste

Le mot « pass » sur fond vert signifie que l’antivirus n’a pas détecté de menace. Le mot « warn » sur fond jaune signifie que que l’antivirus a détecté le cheval de Troie et en a informé l’utilisateur. Le mot « fail » sur fond rouge signifie que le cheval de Troie a été complètement bloqué par le fournisseur. Comme vous pouvez le constater, la majorité des fournisseurs ont été incapables de détecter FinSpy (cases vertes). Seulement 4 fournisseurs sur 35 ont informé leurs utilisateurs de la présence d’une menace (cases jaunes) ou ont bloqué la menace complètement (cases rouges).

Au moment de choisir votre logiciel de protection, prenez en compte vos besoins en confidentialité

En étudiant les tableaux ci-dessus, il est important de se rappeler qu’il est possible, voire probable, que les produits qui n’ont pas réussi à détecter ces chevaux de Troie ne soient pour autant pas capables de détecter d’autres menaces. Il est également possible que ces produits soient gérés par des entreprises qui collaborent avec des sociétés commanditées par l’État plutôt que contre ces dernières. Quels sont vos besoins en matière de confidentialité ? Cherchez-vous à vous protéger contre toute surveillance de la part de l’État ?

Trouver un programme qui assure pleinement votre protection contre tous les types de logiciels malveillants peut sembler impossible, toutefois les tableaux ci-dessus vous proposent un regard impartial sur les logiciels qui fonctionnent vraiment contre les chevaux de Troie de surveillance :

1. Fournisseurs qui ont détecté le cheval de Troie de Hacking Team

Emsisoft n’a eu aucun problème à bloquer le cheval de Troie de Hacking Team et est très fier d’avoir été mis sur leur liste noire en conséquence ! Sophos et CMC AV sont les autres programmes mis sur liste noire par Hacking Team. Comodo et Rising ont également fait un excellent travail en détectant et en bloquant dans la plupart des cas les chevaux de Troie de Hacking Team. Certains autres fournisseurs ont affiché des fenêtres « Pas très inquiétant » pour Hacking Team tandis que tous les autres fournisseurs n’ont même pas été en mesure de détecter le cheval de Troie.

2. Fournisseurs qui ont détecté le maliciel de Finfisher

Emsisoft Anti-Malware, Comodo Internet Security, Outpost Security Suite Pro et Trusport Total Security ont été les seuls fournisseurs capables de détecter le cheval de Troie actif de Finspy, dans tous les cas.

Comme indiqué ci-dessus, Emsisoft a constamment réussi à déjouer les maliciels de Hacking Team et de Finfisher qui s’efforçaient pourtant d’outrepasser les mécanismes de défense de nos produits (sans grand succès !). Quel que soit le programme que vous choisissez, sachez que votre vie privée est importante et que nous ne pouvons que vous recommander de ne pas la mettre entre de mauvaises mains.
Nous vous souhaitons une excellente journée, sans logiciels malveillants !

Fran Rajewski

What to read next

Reader Comments