Silencieux, mortel et en constante évolution, le ransomware n’est jamais loin des gros titres. McAfee voudrait peut-être se vanter de son intercepteur McAfee Ransomware gratuit, mais au contraire, il est profondément enfoui sur le site Web de la société de sécurité.
L’une des raisons pourrait être que l’Interceptor est toujours considéré comme un «pilote», plus un outil anti-ransomware expérimental qu’un produit complet. Il ne semble pas y avoir beaucoup d’expérimentation, non plus, car la dernière mise à jour au moment de la rédaction était le 18 mai 2017.
- Vous pouvez vous inscrire à McAfee Ransomware Interceptor ici
La page officielle de la FAQ Interceptor signale un autre problème: Interceptor n’est pas couvert par le support technique de McAfee. Si vous avez des problèmes, vous pourriez être seul.
Cela ne signifie pas nécessairement que l’intercepteur n’a aucune valeur. Le site Web explique qu’il «tire parti des méthodes heuristiques et de l’apprentissage automatique» pour identifier les menaces, plutôt que d’utiliser des signatures simples, ce qui pourrait permettre au programme de bloquer même les menaces nouvelles et inconnues.
Un autre avantage est que ce type d’approche de surveillance du comportement n’est normalement pas en conflit avec d’autres outils antivirus, ce qui vous permet d’exécuter Interceptor avec presque tout pour ajouter une couche supplémentaire de protection contre les ransomware. Peut-être que c’est un peu obsolète, et peut-être qu’Interceptor ne détecte que quelques menaces supplémentaires, mais il est peu probable que le programme provoque des problèmes et vous rend un peu plus sûr.
C’est le meilleur scénario, de toute façon, mais Interceptor a-t-il vraiment ce qu’il faut pour identifier le ransomware de son seul comportement? Nous devrions télécharger et installer le programme pour en savoir plus.
- Ce sont les meilleurs outils anti-ransomware gratuits
Installer
McAfee Ransomware Interceptor est gratuit pour tout utilisateur, sans inscription ou autres tracas requis. Visitez le site Web, choisissez la version 32 ou 64 bits, lisez la licence et vous pouvez télécharger le programme en un clic.
Le programme d’installation est très compact (3,3 Mo), ce qui explique probablement pourquoi le processus de configuration s’est révélé très simple, sans aucun paramètre ni aucune option à prendre en compte. Nous avons été brièvement préoccupés par l’ouverture d’une fenêtre de commande et l’installation a semblé s’interrompre, sans que rien ne se produise pendant plus d’une minute. Mais alors la fenêtre a disparu, l’installateur nous a conseillé de redémarrer notre système de test et de fermer normalement.
Malgré le minuscule programme d’installation, Ransomware Interceptor avait pris une bonne part de son espace disque. Cependant, la plus grande partie était constituée par les 310 Mo occupés par le cadre de gestion de base de McAfee. les fichiers principaux du programme ont pris à peine 17 Mo.
Le paquet était beaucoup plus léger en termes d’utilisation de RAM, avec ses trois processus d’arrière-plan prenant à peine 11 Mo entre eux dans des circonstances normales, et sans temps de calcul significatif. Ce ne sera probablement pas un produit qui vous ralentit.
Les logiciels malveillants tenteront parfois de détecter et de désactiver les outils de sécurité en fermant des processus, en supprimant des fichiers ou des clés de registre. Cela peut être étonnamment simple – nous avons vu des antivirus qui peuvent être supprimés à partir d’un fichier de commandes – et nous vérifions donc toujours à quel point le logiciel de sécurité peut protéger son propre code.
Les résultats n’ont pas impressionné, du moins au début, lorsque nous avons découvert qu’un attaquant doté de privilèges d’administrateur pouvait supprimer la majeure partie de la structure de gestion de McAfee.
Bien sûr, pour être juste, si un code malveillant est exécuté sur votre système avec des droits d’administrateur, alors vous avez déjà de gros problèmes. Et bien que nous ayons réussi à causer des dommages, les fichiers de support SystemCore de McAfee sont restés disponibles et Interceptor a continué à fonctionner normalement.
Les activités d’Interceptor ne sont guère visibles, car le programme ne dispose pas d’une véritable interface au-delà d’une seule icône de la barre d’état système, qui ne contient que trois outils de gestion. Nous pourrions activer ou désactiver la protection, mettre en liste blanche un programme approuvé pour éviter qu’il ne soit bloqué à l’avenir ou afficher un journal de détection pour voir ce que Interceptor avait fait.
Vous ne contrôlez donc pas le fonctionnement du paquet, comme c’est le cas pour certains concurrents. Les programmes de liste blanche ou la désactivation de l’intercepteur sont vos seules options.
Malgré son interface extrêmement basique, nous avons également constaté une lacune mineure. À l’heure actuelle, Interceptor affiche la même icône de la barre d’état système, active ou non, et la seule façon de voir son état est de cliquer avec le bouton droit sur l’icône et de vérifier son menu. Nous préférerions que l’icône change – peut-être en vert pour active, en rouge pour inactive – vous permettant de voir le statut d’Interceptor en un coup d’œil.
Performance
Tester des logiciels anti-ransomware basés sur les comportements est toujours difficile. Leur intérêt réside dans l’affirmation selon laquelle ils peuvent détecter les logiciels malveillants qui n’existent pas encore, mais c’est difficile à évaluer, à moins que vous n’ayez largement accès aux menaces les plus récentes.
Nous avons commencé avec une approche plus simple, en testant Interceptor contre Cerber, une souche de ransomware connue. Les résultats étaient excellents, Interceptor bloquant le processus Cerber avant de pouvoir chiffrer un seul fichier et afficher une alerte. Ce n’est pas une surprise – nous nous attendions à ce que McAfee ait conçu Interceptor pour détecter des menaces telles que Cerber – mais cela montre que le programme offre une protection utile.
Ensuite, nous nous sommes tournés vers RanSim, le simulateur de ransomware gratuit de KnowBe4. Cela exécute divers tests utilisant différents types de comportement de type ransomware, et vous indique lesquels ont été bloqués.
La dernière fois que nous avons examiné Interceptor, il n’a pu détecter aucun des 14 scénarios d’attaque de RanSim. Ce test a montré une certaine amélioration, deux attaques étant bloquées, mais nous étions toujours vulnérables aux 12 autres scénarios. Ce n’est pas aussi alarmant que cela puisse paraître – tous les scénarios ne sont pas égaux, et il est tout à fait possible que les deux détections d’Interceptor soient suffisantes pour bloquer la plupart des ransomwares du monde réel – mais d’autres outils de sécurité ont obtenu de meilleurs résultats.
Enfin, nous nous sommes tournés vers un simulateur de ransomware très simple. C’est bien plus simple que RanSim, avec un seul mode d’attaque, en parcourant un ensemble de dossiers de test, en détectant et en cryptant de nombreux types de documents courants. Mais comme il n’a jamais été publié, nous savons que les développeurs de McAfee Ransomware Interceptor n’en ont jamais vu auparavant, ce qui en fait un test intéressant de la surveillance du comportement et des heuristiques d’Interceptor.
Malheureusement, Interceptor a complètement échoué. Notre simulateur a été autorisé à s’exécuter complètement et a réussi à chiffrer chaque document et fichier utilisateur dans notre arbre de test.
Nous devons interpréter ces résultats avec soin. RanSim peut utiliser des actions de type ransomware, mais cela ne fonctionnait que sur ses propres fichiers d’exemples, ce qui laissait les nôtres intacts. L’intercepteur a sans doute pris la bonne décision en lui permettant de fonctionner.
Nous pensons que RanTest est probablement l’échec le plus important, car il a pu chiffrer des milliers de fichiers réels sur notre système de test. Ce n’est pas un vrai ransomware et il n’est parcouru que par un seul arbre de test. Il est donc possible que le programme ne respecte pas le seuil de détection d’Interceptor.
Mais d’autres outils antivirus et anti-ransomware bloquent généralement notre simulateur immédiatement, avec par exemple Kaspersky Antivirus 2019 non seulement pour détecter la menace et tuer le processus, mais aussi pour récupérer la poignée de fichiers qu’il avait réussi à chiffrer avant d’être arrêté.
Interceptor mérite toujours un crédit majeur pour le blocage de ransomware du monde réel, et c’est le test le plus important. Le programme a largement échoué avec nos menaces simulées, mais il peut encore améliorer votre sécurité, et ce, sans provoquer de conflits avec d’autres applications de sécurité.
Verdict final
Ransomware Interceptor est simple, ultra léger et bloque sans difficulté les ransomwares du monde réel. Ce n’est pas aussi efficace avec les menaces simulées que les principaux moteurs antivirus, mais il pourrait quand même être utile de l’installer en tant que deuxième niveau de sécurité.
- Ceci est le meilleur logiciel antivirus de 2018
