En dehors du traditionnel « Un antivirus ça sert à rien », s'il y a bien deux phrases typiques qui me gonflent c'est « Les antivirus gratuits ça vaut rien » et « Avast c'est de la merde il détecte rien ». Pourquoi ? Parce que c'est balancé généralement sans le moindre argument. Les petites guerres « mon antivirus est meilleur que le tiens » tirent rapidement vers l'émotif, voir la religion dans le plus pur style des guerres interminables Windows/Linux/MacOSX. Avec autant de résultat: Beaucoup d'air brassé, aucune conclusion utile.
Ancrons-nous donc dans les faits pour examiner ça de plus près: Qu'en est-il de l'efficacité de détection des antivirus (gratuits et payants) ?
Il est difficile de trouver de bons tests, qui soient assez indépendants et larges. Oubliez les tests des magazines, ils ne sont pas fiables pour la plupart, quand ils ne sont pas carrément bidonnés. On trouve des tests sur internet, mais souvent effectués avec une mauvaise méthodologie (par exemple en testant contre 2 ou 3 logiciels malveillants seulement). Il ne reste grosso-modo que deux tests: VirusBulletin et AV-Comparatives.
Les tests les plus récents de VirusBulletin n'étant accessibles que sur abonnement, j'ai récupéré les tests de Février 2009 d'AV-Comparatives: Ils ont testé plusieurs antivirus contre une base de 1,2 millions de fichiers infectés par des virus apparus dans les 9 derniers mois. Je vous fais un court résumé des résultats:
Antivirus |
Taux de détection |
G Data |
99,8% |
Antivir |
99,7% |
McAfee |
99,1% |
Norton |
98,7% |
Avast |
98,2% |
BitDefender |
98,0% |
eScan ISS |
98,0% |
NOD32 |
97,6% |
Kaspersky |
97,1% |
TrustPort |
97,1% |
F-Secure |
93,4% |
AVG |
93,0% |
Sophos |
89,6% |
Command AM |
88,9% |
Norman |
87,8% |
Microsoft OneCare |
87,1% |
Kingsoft |
84,9% |
Bien sûr comme pour toutes les statistiques, ces pourcentages sont à prendre avec des pincettes.
Malgré tout, que peut on tirer comme conclusions de ces rapports ?
- Aucun antivirus n'est fiable à 100%: Quel que soit l'antivirus que vous prenez, on peut toujours trouver une saloperie qui passera au travers. Prendre n exemples d'ordinateurs infectés malgré la présence de l'antivirus X ne suffit pas pour dire que cet antivirus « c'est de la merde » (c'est pourtant l'argument souvent avancé contre Avast).
- Un antivirus ne suffit pas: Il reste nécessaire d'utiliser d'autres logiciels (firewalls, antispywares...), d'installer les mises à jour de sécurité et de suivre des règles de bonne conduite. Et même en ajoutant tout ça, il n'y a pas de garantie à 100%.
- Malgré tout les antivirus bloquent la quasi-totalité des menaces d'infection: Il serait idiot de s'en priver. Tout comme il serait idiot de ne pas vouloir mettre de ceinture de sécurité sous prétexte qu'elle ne peut pas vous garantir que vous ne mourrez jamais en voiture.
- La performance des antivirus varie d'un mois à l'autre: Kaspersky a toujours été en tête de liste, il ne l'est plus. McAfee et Norton avaient des taux de détection abyssaux les mois passés, ils sont maintenant parmi les meilleurs. etc.
- Certains antivirus gratuits sont meilleurs que des antivirus payants: Les deux antivirus gratuits les plus conseillés - Avast et Antivir (en jaune dans le tableau) - sont meilleurs que beaucoup d'antivirus payants (BitDefender, NOD32, Kaspersky, Microsoft OneCare, Sophos, F-Secure... en tous cas pour ce mois-ci). Donc dire que « Les antivirus gratuits c'est de la merde » (sic), c'est carrément un mensonge.
- En dehors de quelques mauvais élèves, les antivirus se valent. Autant il n'est pas raisonnable de prendre un antivirus avec un taux de détection inférieur à 95%, autant entre 98% et 99%, la différence est négligeable et ça ne vaut pas le coup de se prendre la tête là dessus, surtout quand les taux de détection varient d'un mois à l'autre.
L'important, c'est d'avoir un antivirus, peu importe lequel tant qu'on évite les bouses (genre OneCare).
- Il y a bien d'autres facteurs en jeu: Le taux de détection brute ne suffit pas à évaluer un antivirus, il y a bien d'autres paramètres qui entrent en jeu comme le taux de faux positifs (fichiers détectés comme infectés alors qu'ils sont sains), la lourdeur (ralentissement de l'ordinateur), les mises à jour (fréquence, lourdeur), les éléments surveillés (fichiers, mail, P2P, chat...), etc.
Au final, il est tout à fait viable de recommander des antivirus gratuits.
Ce que l'étude ne révèle pas:
- Quelle quantité de virus sont détectés par les systèmes heuristiques ? Beaucoup d'antivirus sont désormais équipés d'un système qui tente de détecter les programmes susceptibles de contenir du code malveillant sans se baser sur une liste de virus mais sur l'analyse du code exécutable ou le comportement. C'est un exercice difficile et sujet aux fausses alertes, mais il permet parfois de détecter et bloquer les virus avant même que les signatures du virus ne soient mises à disposition par les éditeurs. On retrouve par exemple cette technologie chez Norton sous le nom de BloodHound.
- Quelle est le temps moyen pour qu'un éditeur d'antivirus ajoute un virus à ses signatures ? L'étude ne l'indique pas, même si le choix des virus de moins de 9 mois est une bonne idée. Un internaute (merci crapoulou !) m'a fait passer le lien d'un organisme qui fait tester les virus récents (<24 heures) par les différents antivirus. Le graphe donne des indications sur la propension des éditeurs à inclure les signatures en moins de 24 heures, mais il aurait été intéressant de savoir en combien de temps (en moyenne) les éditeurs incluent la signature d'un nouveau virus.
PS: Aux détracteurs d'Avast: Voici la preuve qu'on peut toujours trouver un contre exemple: Un abruti a posté sur CCM un lien vers un fichier infecté. Il se trouve que seulement 3 antivirus sur 40 l'ont détecté, dont Avast. Avast a vu l'infection là où AntiVir, Kaspersky, NOD32, Norton, McAfee, BitDefender, AVG et autres n'ont rien vu. Ce n'est pas pour dire qu'Avast est meilleur, mais juste pour montrer qu'on peut toujours trouver des fichiers détectés par l'antivirus X et pas par l'antivirus Y.