Windows Defender est-il efficace?

Windows Defender est un antivirus gratuit fournit par défaut depuis Windows Vista.
La question de savoir si Windows Defender est suffisant revient souvent.
Cette page tente de répondre à cette question.

Windows-Defender_logo

Historique Windows Defender

Plusieurs antivirus Microsoft se sont succédé.
Initialement Microsoft Security Essentials apparu en Septembre 2009 et qui succède Windows Live Oncare.
Il s’agit d’un antivirus.

Parallèlement depuis Windows Vista, Windows Defender était fourni par défaut, il s’agit normalement d’un antispyware et est devenu un antivirus à part entière depuis Windows 8.
Windows Defender étant devenu un antivirus à part entière… Microsoft Security Essentials a été abandonné pour ces versions de Windows (Fusion).

Windows_Defender_Windows7
Windows Defender sur Windows 7
Windows_Defender
Windows Defender Windows 8

Windows Defender est-t-il efficace ?

Un mot concernant les liens des tests antivirus.

  • av-test.org effectue un test sur des samples directement sur l’antivirus et vérifie si ce dernier est détecté et le système protégé.
  • av-comparatives.org effectue un test en live en tentant de charger des Web Exploits ou des liens pointant vers des binaires malicieux.

Les tests av-comparatives.org sont probablement plus parlant car tous les modules de l’antivirus sont testés, alors que av-test.org ne va détecter que la protection en temps réel : un binaire non détecté sera, on considérera que l’antivirus ne protège pas, or si l’antivirus protège 99% des Web Exploits au final, il protégera mieux les utilisateurs.

En 2013 : Microsoft Security Essentials

Quelques rappels des années précédentes pour planter le décor.

A l’époque la protection de l’antivirus finissait dernier sur le test d’AV-Test : https://www.av-test.org/fr/antivirus/particuliers-windows/windows-7/d%C3%A9cembre-2012/

Microsoft_Security_Essentials_comparatif

Sur le terrain, cela se vérifiait notamment avec les Trojans RAT :

Et la version antispyware sur Windows 7  avec Av-Comparatives : Av-Comparatives Mars 2013
La ligne en pointillée correspond aux détections Microsoft, elle est au niveau du plus mauvais antivirus (Ahnlab)

Windows_Defender_Mars_2013
Détection antivirus et Windows Défender Mars 2013 (Av-Comparatives)

Après 2013 : et Windows Defender en version antivirus

Sur Windows 8, on est à 80% de détection :

Windows_Defender_Septembre_2014
Taux de détection de Windows Defender (Septembre 2014)

Le taux de détection de Windows Defender en Juin 2015 :

Windows_Defender_Septembre_2015_win8
Taux de détection de Windows Defender (Juin 2015)

Fin 2014 : Windows Defender et Windows 10

Les tests sur Windows 10, les performances de Windows Defender montent :

Taux de détection Windows Defender sur Windows 10 (Avril 2016) :

Taux_detection_Windows_Defender_Windows10_Octobre2015
Taux de détection Windows Defender sur Windows 10 (Octobre 2015)

En Décembre 2015, Windows Defender monte même à 4,5 :

Taux_detection_Windows_Defender_Windows10_Decembre2015
Taux de détection Windows Defender (Décembre 2015)
Taux_detection_Windows_Defender_Windows10_Avril2016
Taux de détection Windows Defender sur Windows 10 (Avril 2016) :

Même constatation chez av-comparatives, les détections montent, en novembre 2015, Windows Defender atteint 95%

Taux_detection_Windows_Defender_Windows10_Novembre2015

Néanmoins Windows Defender souvent dans les 6 derniers :

Taux_detection_Windows_Defender_Windows10_Fev2016
Taux de détection Windows Defender sur Windows 10 (Fev 2016)
Taux_detection_Windows_Defender_Windows10_Mai2016
Taux de détection Windows Defender sur Windows 10 (Mai 2016)

 

et la protection sur le terrain

Sur le terrain, j’avais aussi fait quelques essais lors des premières vagues de ransomwares, début Décembre 2015 avec les premières campagnes TeslaCrypt.

Il est n’est « pas très difficile » de trouver des Trojans non détectés par Windows Defender.
Windows_Defender_Trojan_non_detecte

ou encore :

Windows_Defender_Trojan_non_detecte_2

et hop svchost.exe injecté :

Windows_Defender_Trojan_non_detecte_3

Le lendemain après mise à jour de Windows Defender, ce dernier détecte Trojan:Win32/Dynamer pour le Trojan RAT (MirrorsEdgeCatalyst) et Backdoor:Win32/Vawtrak, il s’agit d’un Trojan Banker, cependant, il semble malgrè la détection, il semble toujours actif puisque le svchost.exe est encore présent.

Backdoor Vawtrak et Trojan_Dynamer détecté par Windows Defender
Backdoor Vawtrak et Trojan_Dynamer détecté par Windows Defender

Et du côté du ransomware Locky
Windows Defender laisse souvent passer des droppers Locky…
Ransomware_Locky_Zepto_Windows_Defender

Windows Defender émet tout de même une alerte, seulement celle-ci arrive après que les fichiers aient été chiffrés, on peut voir l’extension .zeptoRansomware_Locky_Zepto_Windows_Defender_3

 

Ransomware_Locky_Zepto_Windows_Defender_4

Le gros problème provient du fait que les mises à jour des définitions virales sont trop rares… Plusieurs heures sans et de ce fait, si vous ouvrez le malware entre le laps de temps où la mise à jour n’a pas été faite, vous êtes vulnérables.. d’où les intérêts des solutions Cloud Antivirus.

Ransomware_Locky_Zepto_Windows_Defender_2

Et Ransomware Cerber.. il se passe exactement la même chose que Locky…

Windows_Defender_VS_Cerber_Ransomware

et Windows Defender émet une alerte Ransom:Win32/Cerber.A car il détecte le chiffrement des documents…Windows_Defender_VS_Cerber_Ransomware_2 mais c’est trop tard…. les fichiers sont chiffrés on voit des documents en .cerber et les fichiers instructions sont installés et ouverts…Windows_Defender_VS_Cerber_Ransomware_3

Bonus – une vidéo du 28/11/2016 où Windows Defender laisse passer Locky :

Je tiens à préciser qu’Avast! détecte tout ce beau monde, je pense que les autres antivirus gratuits aussi.
Ci-dessous le dropper Locky détecté en FileRepMalware et derrière les détections des autres droppers (4/4)

Avast_FileRepMalware

Conclusion

Microsoft et depuis la sortie de Windows 10 a fait d’énormes progrès de détection, il faut dire qu’il partait de loin.
Néanmoins il reste beaucoup moins efficaces que ses autres homologues gratuits.
Il faut savoir aussi que pendant ce temps là, les antivirus gratuits continuent de s’améliorer, notamment Avast! continue de développer son Cloud (voir Cloud Antivirus) et sa version Avast! Nitro.

D’autre part, Windows Defender permet à Microsoft de suivre les menaces informatiques et de participer notamment à des opérations coinjointes avec les autorités pour faire tomber des botnets.

Faut-il délaisser Windows Defender ?

Tout dépend de votre activité sur internet, comme cela est expliqué sur la page : La sécurité de son PC, c’est quoi ?
Vos chances d’infections dépendent de votre activité sur la toile et si vous avez suivi d’autres éléments de sécurité (hors antivirus).
En d’autre terme, un utilisateur avertit avec Windows Defender qui lit juste ses emails et les sites actualités, a probablement moins de chance de se faire infecter qu’un utilisateur qui va sur des sites de streaming illégaux, pornographiques ou torrent avec des plugins non à jour et Avast! installé.

Tout ceci est résumé sur la page:

Et pour sécuriser Windows : Quelles protections pour Windows 10 ?

Nous vous recommandons de sécuriser votre ordinateur en suivant le guide : Sécuriser son Windows (version courte) et Virus : Surveiller Windows

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 6 569 times, 36 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *