Vous croyez que parce que vous avez un Linux sur votre machine vous êtes protégé de toutes menaces ? Vous pouvez malheureusement déjà aller chercher vos mouchoirs. Aujourd’hui je vous donne mon avis sur Dr.Web Antivirus pour Linux Dr.Web.
Si vous faites une recherche sur Google, vous tomberez forcément sur le forum d’Ubuntu qui vous dit clairement, un antivirus sur Linux ça sert à rien parce que nous, « on est sécure…Il n’y a pas de virus sur Linux non mais ho ! »
Les malwares sont certes moins présent sur Linux. Ils en existent et ils outrepasseront vos protections un jour ou l’autre. Le système dispose peut-être moins de privilèges, on peut très bien faire de l’élévation de privilège, récupérer les droits roots d’une cession avec la console lorsque vous lancer vos mises à jour par exemple.
Sous Linux, tout le monde connaît le scanner antivirus ClamAV, il est très basique, j’ai envie de dire rien de folichon. Ceux qui se sont intéressés aux scanners présents sur Linux auront peut-être entendu parler de Rkhunter ou encore de Chkrootkit, des scanner anti-rootkits. Bien qu’efficaces, ils ne proposent rien de résident.
Dr.Web est une suite peux connue du grand public. Elle ne figure pas sur les tests AV-TEST version ordinateur. Pourtant, elle est loin d’être décevante dans sa version Windows. Deux versions sont proposées : Security Space (la suite complète) à 28 € et 26 € la version antivirus sur Windows, Linux Et Mac.
La version Linux vaut elle réellement le prix de sa grande sœur sur Windows ? La version que je teste est la Dr.Web Antivirus pour Linux.
Le protocole de test est le suivant, un total de 100 points sera décerné au produit. 6 éléments clés seront testés :
Une partie Bonus peut être ajoutée ! ( / 5 points)
Le test sera directement réalisé sous une machine réelle et non une machine virtuelle comme cela est fait la plupart du temps !
Notez que je teste avant tout la version Antivirus pour Linux. Des apartés peuvent être apportés pour la version Space Security OSX & Windows, mais les notes représentent bien la version linux.
Je ne vais pas beaucoup m’attarder sur la version Windows, je testerais cette version un peu plus en détails vers février. J’aurais beaucoup plus de menace à tester sur ce système d’exploitation.
L’installation se passe sans encombre, elle est simple et la documentation est très bien fournie. Leur page de support est facile à trouver et ils sont à votre écoute.
NB : Vous avez accès à une démo d’un mois ou de 3 mois si vous vous inscrivez.
Lancer le depuis une console avec les droits root :
sudo ./drweb-11.0.4-av-linux-amd64.run
Notez que sur Mac, l’installation est sensiblement la même. Nous avons eu un problème rapidement réglé, Kaspersky était utilisé en tant que simple scanner.
Dr web nous a affiché une alerte et les composant Spider Gate et Guard ne fonctionnaient pas.
La désinstallation de Kaspersky résoudra le problème.
Rien à dire sur cette partie 5 / 5, c’est vraiment agréable d’avoir une installation en graphique qui fonctionne sans avoir à faire quelque chose derrière pour que sa marche sur Linux.
Dans la documentation, vous aurez accès aux pré-requis pour que Dr.Web fonctionne correctement. Vous trouverez ici un post de notre ami Vigen pour une installation sous OpenSuse.
Pour Linux, vous aurez la version Antivirus qui ne comprend pas de pare-feu.
Le filtrage Web est assez complet d’ailleurs, on peut par exemple choisir de bloquer des sites de jeux d’argent ou encore pornographique.
Dans cette version pas de pare-feu. Je me demande pourquoi il n’y a pas de version Dr.Web avec un pare-feu pour Linux ? Du coup, tout ce qui est attaque de type ARP – DHCP passera, c’est certain…Je ne suis même pas sûr que les antivirus ayant un pare-feu détectent ces types d’attaques.
La technologie d’analyse dans le Cloud fonctionne sur les URLs et les fichiers. Tout est intercepté et passe par les serveurs de Dr.Web.
Je ne pénalise pas le manque de pare-feu étant donné que c’est une version prévue sans. Aucun module complémentaire n’est pas proposé ici, mais les modules principaux fonctionnent correctement..17/20.
Pour les configurations, seuls 3 onglets sont réellement intéressants à mes yeux. Le scanner, Spider Guard qui est l’antivirus fichier et Spider Gate qui lui est l’antivirus Web.
Pour pouvoir modifier la configuration, vous devez cliquer sur le cadenas et vous identifier en tant que root.(Pensez bien à re-verrouiller le cadenas).
NB : Faîtes attention pour ceux qui utiliseraient kali, veillez bien à ignorer la détection des Risktools et Hacktools.
En passant, Dr.Web nous donne une ristourne si l’on est un ancien client… par contre on peut voir une petite boulette de leur part, c’est pas un bonus de -150 jours mais bien +150 jours comme indiqués dans le titre.
NB : La licence utilisée vous octroie un accès gratuit à la version Android.
Lors de la configuration des modules, je n’ai pas trouvé d’option me permettant de ne pas laisser Dr.Web prendre les décisions automatiquement lors de la détection d’une menace. Également pas de bouton pour remettre les réglages par défaut.
Les réglages sont bien, la détection des adwares est activés par défaut.
Toutes les détections sont mises en tant que désinfecter. Je ne suis pas fan. Personnellement, j’aurais préféré que cela soit par défaut en tant que « mettre en quarantaine ». D’ailleurs, ce sont les réglages que j’ai mis… 15/20 pour cette partie !
Je ne mets pas 20 car je préfère quand tout va en quarantaine ou que je puisse décider de ce que je veux faire lors d’une détection.
Ici, je suis un peu déçu. Dr.Web, c’est censé être vert ! Et là, j’ai droit à une interface toute grise et tristounette.
J’ai d’abord pensé à un thème qui s’adaptait en fonction de celui installé par l’utilisateur, mais non. Comparé à la version Mac Security Space, il y a une différence en matière de design qui me gêne un peu.
Un autre problème sur mon Elemantary OS, est que l’icône de Dr.Web ne s’affiche pas. À voir si cela ne touche qu’EOS ou Ubuntu également mais pour l’avoir testé sur OpenSuse, il s’affichait bien.
Concernant l’ergonomie du logiciel, c’est clair et les options de configuration ne sont pas compliquées à comprendre. Elles sont même minimalistes ce qui n’est pas plus mal. Il manque une option analyse depuis le menu contextuel de la souris. On est obligé de glisser déposer chaque fichier manuellement dans le scanner !
Il manque aussi une section pour visualiser les rapports d’activités. Vous pouvez seulement générer un rapport lors de la fin d’une analyse. D’ailleurs, la fenêtre montrant le rapport de scan est assez mal faite et les rapports générés ne sont que des fichiers textes.
Sur cette partie, 7/10. Des rapports au format html avec un peu de mise en forme ou une interface retravaillée pour les visualiser aurait été sympa ! J’aurais également préféré un peu plus de couleur qui représente l’univers Dr.Web au sein du logiciel 😉
Pour cette partie, chaque jour depuis environ un peu moins d’un mois, je teste 10 malwares et 10 URLs. Malheureusement, je n’ai trouvé qu’une dizaine de samples de malware Linux, tous détectés.
J’ai donc testé des malwares Windows. Vous me direz quel en est l’intérêt. C’est tout simplement le fait que si vous vous balader avec une clé USB infectée, en la branchant sur votre Linux vous éviterez de contaminer un autre Windows et également ça me permet de tester que la BDD est bien commune et ne subit pas de délai pas rapport à une autre version Mac ou Windows.
C’est très bon. Il y a des jours où c’est du 100% de détection et d’autre où ça va faire du 70% pour la détection URL. Concernant l’antivirus fichier, c’est la plupart du temps très bon, mais il y a des samples avec un score anormalement élevé sur VirusTotal qui ne sont pas détectés.. :/
Vous pouvez voir quelques détections de l’antivirus fichier :
Quand Spider Gate ne voit rien, Spider Guard intervient :
La détection est instantanée !
Juste après si l’on retente de ré accéder au site, Spider Gate le considère comme malveillant suite à la précédente détection de Spider Guard :
Je pense qu’ici, c’est la détection Cloud qui vient bloquer le site. La technique utilisée est vraiment rapide même si cela pourrait amener à quelques problèmes ! Par exemple, si Spider Guard générait un faux positif et qu’un site sain se faisait ensuite bloquer. Cela ne m’est jamais arrivé lors de mon test mais il suffirait de mettre une exception depuis l’onglet Exclusions.
Concernant les archives de malwares testées, comme dis plus haut, j’en ai toujours quelques-unes qui ne sont pas détectées :
Si on regarde sur VirusTotal il y a pas mal de détections :
Pour finir ce test, je lance une analyse rapide du système. Compter une bonne dizaine de minutes. 2 archives infectées ont été trouvées dans le cache de Firefox.
Alors petit problème, Dr.Web ne me permet pas de savoir quel est le type d’infection qui est détecté. Il faut que j’acquiesce la mise en quarantaine et que je clique sur plusieurs menus déroulants pour pouvoir accéder aux détails.
Lors de ce petit mois de test Dr.Web a quasiment tous détectés..25/30
Concernant l’utilisation des ressources systèmes, c’est vraiment minime. Je ne sens pas la différence entre l’avant et l’après-installation de l’antivirus.
Pour les bugs, quand vous choisissez l’option « Rescanner », certaines fois la menace n’est plus détecté. Si vous la restaurez, la menace sera de nouveau détectée et le bug n’apparaît plus. Également, lorsque l’on clique sur suppression, certaines fois on a des erreurs de suppression et si l’on re-clique une seconde fois le problème disparaît.
Faîtes également attention sur quelle distribution Linux vous installez l’antivirus. Sur une Kali par exemple, Dr.Web est plutôt embêtant. Il faut penser à décocher l’analyse de certains types d’infections. J’ai contacté le support pour savoir s’il proposait une configuration particulière, mais aucune réponse de leur part.
D’ailleurs le site est plutôt mal foutu, autant la documentation, c’est impeccable, mais où est le support pour la version antivirus ? Seul un espace pour la version Security Space est disponible pour des questions.(C’est peut être pour cela qu’ils ne m’ont pas répondu)
Les bugs rencontrés sont minimes ici, 13/15
Les équipes de recherches de Dr.Web font souvent des apparitions, elles sont à votre écoute. Omis le problème de contact que j’ai eu, vous pouvez les contacter pour expliquer des bugs, proposer des idées d’amélioration pour le logiciel. J’adore !
On sent qu’ils ne cherchent pas qu’à vendre un produit, que leur but n’est pas de proposer une nouvel interface de leur antivirus chaque année, mais bien un programme efficace.
D’ailleurs si vous êtes victime d’un ransomware, vous pouvez contacter le support en envoyant des samples de fichier chiffrés. L’équipe prendra contact avec vous pour savoir s’il est possible de récupérer vos fichiers. Si vous possédez une licence, c’est gratuit, sinon va falloir passer à la caisse 😉 Ou vous pouvez regarder par ici.
5/5 sur cette partie !
Personnellement, je recommanderais cet antivirus.
Après, est-ce qu’il vaut bien son prix ? Autant sur Windows 28 € pour une suite de sécurité complète et 26 € pour la version antivirus les mets en haut du podium, ce n’est pas cher.
Mais sur Linux, ce n’est pas la même philosophie, ils ont voulu simplifier leur système de licence avec un prix et des licences identiques pour chaque système mais je pense que pour Linux, il y a un problème de prix et de marketing.
La plupart des personnes ont la même idéologie que la page Ubuntu présentée en début d’article..10-15€ ciblerait plus le marché je pense.
Pour moi, ils m’ont convaincu ! Ils ont récolté la note de 87/100 dont un jolie 25/30 pour leur système de détection !
ArkeUp Paris
Bonjour, si vous devez lister quelques inconvénients ou points faibles de cet antivirus, quels seraient-ils?
• Lien vers le commentaire
Romain Luyer Auteur(e) de l'article
Bonjour,
En avantages,
– Très léger sur le système
– Équipe de recherche réactive
– Bon taux de détection
En inconvénient :
– Pas de pare feu
– Bootkits non persistants non détectés (KonBoot par exemple).
– Le pré-réglage par défaut qui supprime tout automatiquement
• Lien vers le commentaire
Vigen
Bonjour,
J’arrive sept mois « en retard »… Normal !! 😀
Alors, concernant DrWeb… Il y’a les dépots adhoc :
http://repo.drweb.com/
Il y’a ce qu’il faut pour du .deb, du .rpm…
Pour la licence, « a mon époque », une license Windows permettais aussi l’utilisation de la version Linux, dans la limite du nombres de postes protégés bien entendu.
Je l’ai utilisé sur pas mal de distros, sous Linux, c’est le filtrage web qui m’intéresse.
D’ailleurs, je crois que c’est le seul produit à le proposer.
Le forum permet d’avoir une réponse rapide du staff, et les devs passent souvent…
Bref, du matos sérieux, comme on aimerais en voir plus souvent dans le petit monde des AV…
• Lien vers le commentaire
Romain Luyer Auteur(e) de l'article
Salut Vigen 😉
Ça fait plaisir de te lire 🙂
C’est le plus complet sur Linux. J’aimerai bien qu’il intègre des détections sur les attaques ARP. Pas forcément qu’il les bloquent mais au moins avoir un avertissement du style ‘suspicion d’attaque ARP’. C’est sur des petites choses comme ça qu’il peuvent se démarquer.
Romain
• Lien vers le commentaire
Vigen
Hello ,
Le plaisir est réciproque !! 😉
Le « problème » viendrais de l’adaptation aux différentes distribution Linux, et à leurs sous couche réseau.
Tu prend du suse et du redhat, c’est totalement différent…
Mais si la « clientèle » Linux deviens plus importante, ils ne sont pas sourds aux propositions innovantes !!
• Lien vers le commentaire