Résultats des tests indépendants – Pare-feu Internet

Retour à l’accueil

Pare-feu – Protection bidirectionnelle robuste

Votre pare-feu personnel doit être capable de vous protéger des menaces entrantes comme les pirates et des menaces sortantes comme les chevaux de Troie qui essaient de transmettre vos données vers le monde extérieur. Ces 20 tests ont été réalisés à l’aide du logiciel gratuit indépendant et disponible publiquement, Firewall Leak Tester.

Comparé à Norton, McAfee et Microsoft, le pare-feu ZoneAlarm a été le seul pare-feu Internet personnel à bloquer la totalité des 20 attaques.

Comparez les résultats des tests de pare-feu

Tests
(cliquez nom du test pour en savoir plus)
ZoneAlarm
Norton®
McAfee®
Microsoft®
X
X
 
 
Tooleaky ouvre votre navigateur Web par défaut avec une ligne de commande. Si le navigateur Web est autorisé à accéder au port 80, toutes les données pourront être transmises à une adresse distante, y compris les mots de passe ou numéros de cartes de crédit potentiels. Si votre pare-feu ne réussit pas ce test, cela signifie qu’il ne vérifie pas les applications qui en lancent d’autres.
X
 
X
 
FireHole utilise votre navigateur Web par défaut pour transmettre les données à un hôte distant. Pour ce faire, il installe un fichier DLL sur votre PC dans le même espace de processus qu’une application de confiance, ce qui accroît ses chances d’accéder à Internet furtivement. Si votre pare-feu ne réussit pas ce test, cela signifie qu’il ne contrôle pas les applications qui en lancent d’autres et qu’il est vulnérable à l’injection de DLL.
Leaktest a été conçu pour tester si la simple attribution du nom d’une application autorisée à un programme malveillant permettrait à ce dernier de passer à travers votre pare-feu. Si votre pare-feu ne réussit pas ce test, cela signifie qu’il s’appuie sur les noms (caractères) des applications plutôt que sur leurs empreintes chiffrées, par exemple MD5 (algorithme 5 Message-Digest), une fonction de hachage cryptographique avec une valeur de hachage de 128 bits très utilisée.
X
 
 
 
Sous XP, toutes les requêtes DNS des diverses applications sont transmises au client DNS (SVCHOST.EXE). Ce comportement peut être exploité pour transmettre des données à un ordinateur distant en forgeant une requête DNS spéciale sans que le pare-feu ne le remarque. DNStester utilise ce type de requête DNS récursive pour passer à travers votre pare-feu. Si votre pare-feu ne réussit pas ce test, cela signifie qu’il effectue trop tard la vérification pour les requêtes DNS.
X
 
 
 
Généralement, quand une application accède à Internet, votre pare-feu utilise l’API Windows pour extraire l’identificateur de processus (PID) parent. Ghost modifie le PID en se fermant puis en se redémarrant pour continuer d’envoyer des données. Si votre pare-feu ne réussit pas ce test, cela signifie que son contrôle d’accès au réseau parent/enfant effectue trop tard la vérification.
X
 
 
 
De nombreux pare-feu détectent un ShellExecute ou CreateProcess direct lors de l’appel à Internet Explorer (IE) et de la transmission des paramètres. Pour éviter cela, Surfer crée un bureau caché et lance IE à l’intérieur de ce bureau caché, sans URL, donc sans accès au réseau. Surfer lance alors une autre instance de lui-même et ferme la première. Puis il utilise le protocole DDE (échange de données direct), un vieux protocole pour l’échange des données inter-processus (similaire à OLE). Netscape a développé une interface DDE pour son navigateur et tous les navigateurs les plus courants, notamment IE. Ainsi, les paramètres sont fournis à IE par le biais de DDE, au lieu d’un appel direct lors du lancement.
Yalta propose un test classique ET un test avancé. Le test classique essaie d’envoyer des paquets UDP vers des ports qui sont souvent autorisés, par exemple 53 (DNS), 21 (FTP). Le test avancé utilise un gestionnaire pour envoyer des paquets directement vers l’interface réseau, en passant sous la couche TCP/IP. Si votre pare-feu ne réussit pas ce test, cela signifie qu’il autorise peut-être le trafic que vous n’avez pas initié sur les ports préconfigurés.
X
X
 
 
OutBound essaie d’envoyer des paquets TCP avec quelques drapeaux activés directement sur le réseau et essaie de passer à travers votre pare-feu. Pour réserver des ressources de l’unité centrale et du système, de nombreux pare-feu ne filtrent pas ce type de paquets. Si votre pare-feu ne réussit pas ce test, cela signifie qu’il n’effectue pas de vérification en dessous de la couche IP Windows et/ou qu’il ne vérifie que les nouvelles connexions.
X
 
 
 
Copycat utilise l’injection de code directe (sans création de thread supplémentaire) dans un navigateur Web afin d’éviter la détection par le pare-feu. Si votre pare-feu ne réussit pas ce test, cela signifie qu’il est vulnérable à l’injection de processus.
X
 
X
 
Thermite injecte son code directement dans le processus cible, en créant un thread supplémentaire malveillant au sein de ce processus, qui est totalement invisible pour certains pare-feu. Si votre pare-feu ne réussit pas ce test, cela signifie qu’il est vulnérable à l’injection de processus.
PCAudit utilise l’injection DLL pour injecter son code (comme DLL) dans les applications autorisées. Si votre pare-feu ne réussit pas ce test, cela signifie qu’il est vulnérable à l’injection de DLL.
X
X
 
 
PCAudit2 utilise une méthode d’injection de DLL différente de celle de la première version de PCAudit pour passer à travers des pare-feu qui peuvent bloquer PCAudit. Si votre pare-feu ne réussit pas ce test, cela signifie soit qu’il est vulnérable à l’injection de DLL soit que sa fonctionnalité de protection contre l’injection n’est pas efficace.
WallBreaker utilise explorer.exe pour accéder à Internet. Il inclut une variante du test qui lance cmd.exe qui lance ensuite explorer.exe. Dans un autre test, Wallbreaker définit une tâche programmée en utilisant « AT.exe » qui exécute alors la tâche avec « svchost », créant un fichier de traitement par lots (extension .bat) avec un nom de fichier aléatoire dans votre répertoire.
MBtest envoie des paquets directement à la carte réseau (NIC) pour essayer de passer à travers votre pare-feu. Pour ce faire, il envoie divers styles de paquets, avec des tailles, des protocoles et des types différents. En théorie, MBtest pourrait copier des fichiers indispensables tout seul sans redémarrage. Si votre pare-feu ne réussit pas ce test, cela peut signifier qu’il ne vérifie que le trafic de haut niveau et qu’il manque le trafic de bas niveau.
X
 
X
X
AWFT comprend 10 tests, notamment (1) essayer de charger une copie de votre navigateur par défaut et de la raccorder à la mémoire avant son exécution, créant un thread sur une copie chargée de votre navigateur par défaut, (2) créer un thread dans Windows Explorer, (3) essayer de charger une copie de votre navigateur par défaut à partir de Windows Explorer et de la raccorder à la mémoire avant son exécution, (4) effectuer une recherche heuristique de proxys et autres logiciels autorisés à accéder à Internet sur le port 80, puis charger une copie et la raccorder à la mémoire avant son exécution à partir d’un thread dans Windows Explorer, et (5) effectuer une recherche heuristique de proxys et autres logiciels autorisés à accéder à Internet sur le port 80, puis demander à l’utilisateur de sélectionner l’un d’eux pour créer un thread sur le processus sélectionné.
X
 
 
 
Breakout envoie une URL à la barre d’adresse d’Internet Explorer (IE) avec l’API « SendMessage » de Windows afin de se lancer. Si votre pare-feu ne réussit pas ce test, cela signifie qu’il ne recherche pas les « messages » envoyés aux fenêtres de vos applications.
X
 
 
 
Breakout2 crée une page HTML locale qui pointe vers son URL cible. Puis, il active Active Desktop et définit sa page HTML comme papier peint de votre bureau. Si votre pare-feu ne réussit pas ce test, cela signifie qu’il ne recherche pas les abus Active Desktop.
X
 
 
 
CPIL essaie de trouver explorer.exe et de raccorder sa mémoire. Puis, avec le fichier explorer.exe infecté, CPIL essaie de transmettre des données à des serveurs distants en se servant de votre navigateur par défaut. Si votre pare-feu ne réussit pas ce test, cela peut signifier qu’il ne contrôle pas l’injection de code suspect.
X
 
X
 
Au lieu de modifier directement la mémoire du processus cible, Jumper force la cible à charger sa DLL étrangère elle-même. Pour ce faire, Jumper écrit dans l’entrée de registre « AppInit_DLLs », puis arrête explorer.exe qui est automatiquement rechargé par Windows. Une fois à l’intérieur, la DLL de Jumper modifie l’entrée de registre de la page de démarrage d’Internet Explorer (IE) avec toutes les données qu’elle veut transmettre, puis lance IE. Si votre pare-feu ne réussit pas ce test, cela signifie qu’il ne surveille pas les entrées de registre critiques.
X
X
 
 
PCFlank utilise l’automatisation OLE pour savoir comment votre pare-feu traite la situation dans laquelle un programme essaie de gérer le comportement d’un autre programme (de confiance). Si votre pare-feu ne réussit pas ce test, cela signifie qu’il « fuit » et que vous devez prendre des mesures supplémentaires pour sécuriser votre ordinateur.

Remarque : Ces tests ont été effectués avec des logiciels gratuits indépendants et à la disposition du grand public. Les versions de produits suivantes ont été utilisées : ZoneAlarm® Internet Security Suite 7.0 beta1, Norton Internet Security Suite v7.1, McAfee Internet Security v9 Trial, MS Windows Live OneCare v1.1.1067.8 avec Windows Defender. Cette liste de tests de « fuites », que nous pensons être exacte d’après les recherches effectuées au cours de la semaine du 26 octobre 2006, n’est pas exhaustive. Les tests ont été effectués avec Windows XP SP2 et toutes les mises à jour MS. Le contrôle des programmes de ZoneAlarm® était réglé sur Maximum, le paramètre que la plupart des utilisateurs utilisent que ce soit par défaut ou après une courte période d’apprentissage.

Afin de bénéficier de tests de « fuites » de pare-feu précis, la protection antivirus (non pare-feu) de chaque produit de sécurité était désactivée. En effet, la fonctionnalité antivirus de certains produits désactivent les tests de « fuites » pour certaines menaces sans bloquer ces menaces, ce qui produiraient des résultats de tests de « fuites » inexacts.

Autres infos

Bloquez les attaques que les autres logiciels laissent passer
panneau Stop Découvrez comment ZoneAlarm vous protège des menaces les plus sérieuses.

En savoir plus

Prix ZoneAlarm
prix Attribués par diverses publications effectuant leurs propres tests, évaluations et critiques.

En savoir plus

ZoneAlarm Internet Security Suite 2009
Internet Security Suite 2009 Empêche les logiciels malveillants d’infecter votre ordinateur grâce à plusieurs couches de protection.

En savoir plus