Malware

01 — DéfinitionQu'est-ce qu'un malware ?

Le malware (contraction de malicious software) est le terme générique qui désigne tout logiciel conçu avec l'intention de nuire : perturber le fonctionnement d'un système, en détruire les données, en exfiltrer, en prendre le contrôle à distance, ou l'utiliser comme tremplin vers d'autres cibles, tout cela sans l'autorisation du propriétaire.

Le caractère déterminant est l'intention et l'absence de consentement. Un logiciel qui fait techniquement la même chose qu'un malware, mais avec l'autorisation explicite du propriétaire (exemple : un outil d'administration à distance installé en connaissance de cause), n'est pas un malware. À l'inverse, un logiciel en apparence légitime qui dissimule des fonctions non documentées (collecte de données, backdoor) est un malware.

Le terme est apparu à la fin des années 1990 pour remplacer le terme « virus », devenu trop réducteur face à la diversité des programmes malveillants. Aujourd'hui, « virus » désigne une sous-catégorie historique précise : un malware capable de se répliquer en infectant d'autres fichiers. La confusion entre « virus » et « malware » dans le langage courant reste tenace mais techniquement incorrecte.

Le malware n'est pas une technologie, c'est une intention. La même brique technique peut être parfaitement légitime ou parfaitement malveillante selon le contexte et le consentement du propriétaire du système.

02 — FamillesLes grandes catégories de malwares

Virus

Le plus ancien. Programme qui se réplique en infectant d'autres fichiers exécutables. Nécessite une action humaine pour se propager (exécution du fichier infecté). Aujourd'hui rare en tant que tel sur les systèmes modernes, mais le terme reste utilisé dans le grand public et chez les éditeurs d'antivirus.

Vers (worms)

Se propagent automatiquement sur les réseaux, sans action humaine. Exploitent typiquement des failles logicielles pour passer d'une machine à l'autre. Historique : Morris (1988), Code Red (2001), Conficker (2008), WannaCry (2017). Les vers modernes servent souvent à déployer un ransomware.

Chevaux de Troie (trojans)

Se présentent sous l'apparence d'un logiciel légitime ou utile, pour que l'utilisateur les exécute volontairement. Une fois actifs, ils installent typiquement un accès backdoor, un dropper (qui télécharge d'autres malwares) ou un loader. Exemples récents : Emotet, TrickBot, QakBot — tous des troyens bancaires devenus des plateformes polyvalentes.

Ransomwares

Chiffrent les fichiers de la victime et exigent une rançon pour les déchiffrer. Les versions modernes ajoutent souvent une double extorsion (menace de publication des données). Catégorie la plus médiatisée depuis 2016. Exemples : LockBit, Conti, Royal, Akira. Voir la fiche dédiée ransomware.

Infostealers

Catégorie devenue dominante en 2024-2026. Volent tout ce qui a de la valeur sur la machine infectée : mots de passe stockés dans le navigateur, cookies de session, wallets crypto, fichiers sensibles, données de l'autocomplete. Les logs sont ensuite revendus sur des marchés (Genesis Market, Russian Market). Exemples notables : Redline, Raccoon, Vidar, Lumma.

Spywares

Surveillent l'activité de l'utilisateur sans son consentement : frappe clavier (keyloggers), captures d'écran, historique de navigation, géolocalisation. Peut concerner des logiciels commerciaux controversés (Pegasus de NSO Group) ou du spyware grand public déguisé en appli de contrôle parental détournée.

Rootkits

Malwares sophistiqués qui s'installent au niveau le plus profond du système (noyau, firmware) pour rester invisibles aux outils de détection standards. Particulièrement difficiles à identifier et à éradiquer. Historiquement utilisés par des acteurs étatiques, mais des versions commercialisées apparaissent.

Botnets

Réseaux de machines compromises (bots) contrôlées à distance par un attaquant. Servent à du DDoS, du spam, du minage de crypto, de la fraude au clic ou comme infrastructure pour d'autres attaques. Exemples : Mirai (IoT, 2016), Emotet, QakBot.

Adwares

Inondent la machine de publicités intrusives. Moins destructeurs que les autres catégories mais perturbent fortement l'usage. Souvent associés à des logiciels gratuits téléchargés sur des sites douteux.

Cryptominers (cryptojacking)

Utilisent les ressources CPU/GPU de la machine infectée pour miner des cryptomonnaies au profit de l'attaquant. Particulièrement ciblé sur les serveurs Linux. Impact financier indirect (facture cloud, usure matérielle, dégradation de performance).

Wipers

Ressemblent à des ransomwares mais ne chiffrent pas : ils détruisent purement et simplement les données. Utilisés dans des attaques géopolitiques (NotPetya 2017, wipers visant l'Ukraine depuis 2022). Impact immédiat et irréversible.

03 — VecteursComment les malwares entrent

Phishing email — vecteur numéro un

De très loin le premier mode de compromission en entreprise (environ 80% des cas selon plusieurs rapports annuels, Verizon DBIR inclus). Pièce jointe piégée : Excel avec macros, PDF avec exploit, HTML de phishing, fichier ISO ou ZIP contenant un exécutable. Alternative : lien qui télécharge silencieusement le malware après interaction.

Supply chain

Compromission d'un logiciel ou d'un package légitime, qui contamine tous ses utilisateurs. Cas célèbres : SolarWinds (2020, accès à 18 000 organisations dont des agences gouvernementales), 3CX (2023), XZ Utils (2024, back-door quasi-réussie dans un composant Linux critique). Le typosquatting de packages (npm, PyPI) est une forme accessible de cette approche.

Exploitation de failles externes

Compromission de services exposés sur internet : VPN (Pulse Secure, Fortinet, Ivanti), serveurs Exchange (ProxyShell, ProxyLogon), serveurs web non patchés. Les failles critiques sont exploitées en masse dans les jours, parfois les heures, suivant leur publication.

RDP et accès distants

Brute-force ou credential stuffing contre des serveurs RDP exposés sur internet. Principal vecteur de ransomwares ciblant les PME. Le passage au télétravail généralisé a amplifié le phénomène depuis 2020.

Périphériques USB

Clé USB infectée, périphérique piégé (USB Rubber Ducky), ou attaque par BadUSB. Vecteur historique devenu plus rare en entreprise avec la montée du télétravail, mais toujours utilisé dans des contextes spécifiques (opérations ciblées, infiltration physique).

Sites web compromis (drive-by download)

La simple visite d'un site compromis, via une faille du navigateur ou de ses plugins, permet l'installation d'un malware. Devenu rare avec les navigateurs modernes et les protections Google Safe Browsing, mais toujours utilisé pour des cibles précises (watering hole).

Publicités malveillantes (malvertising)

Publicités en ligne qui redirigent vers des pages piégées ou téléchargent un malware. Particulièrement efficaces sur les sites grand public via des régies publicitaires laxistes.

Logiciels piratés ou cracks

Les cracks de logiciels commerciaux contiennent très fréquemment un malware. Catégorie dominante des infections particuliers, touche aussi les PME dont certains collaborateurs téléchargent des logiciels non autorisés.

04 — ÉvolutionTendances 2025-2026

Ransomware-as-a-Service (RaaS)

Industrialisation complète du modèle. Des groupes spécialisés développent les malwares et les louent à des affiliés qui exécutent les attaques en échange d'un pourcentage. Résultat : volume d'attaques massif, professionnalisation, écosystème criminel mature.

Infostealers dominants

Depuis 2023-2024, les infostealers sont devenus la première cause d'incidents liés au vol d'identifiants. Les logs revendus sur les marchés alimentent ensuite les compromissions manuelles (hands-on-keyboard) qui déploient les ransomwares. Chaîne de valeur criminelle bien rodée.

IA dans la génération de malwares

Les modèles de langage permettent de générer rapidement du code malveillant variant, des emails de phishing très convaincants, et des scripts d'évasion adaptés aux EDR. Les premiers malwares partiellement générés par IA ont été documentés en 2024-2025. L'avantage défensif reste pour l'instant aux outils d'analyse comportementale, mais l'équilibre évolue.

Attaques sans fichier (fileless)

Exécution directement en mémoire via PowerShell, WMI, ou outils légitimes (living off the land). Aucun fichier malveillant sur le disque, aucune signature à détecter. Majoritairement utilisées par les acteurs sophistiqués, désormais accessibles à des groupes moyens grâce à des frameworks prêts à l'emploi (Cobalt Strike, Sliver).

Ciblage Linux et macOS croissant

Les serveurs Linux sont ciblés massivement pour le cryptojacking et les ransomwares (VMware ESXi particulièrement visé). macOS, longtemps épargné, voit émerger des infostealers dédiés (AMOS, Atomic Stealer) qui profitent du sentiment de fausse sécurité des utilisateurs Mac.

Malwares mobiles

Android reste la cible principale (apps malveillantes hors du Play Store, via sideload). iOS est plus difficile à compromettre mais pas immunisé : Pegasus a démontré qu'une exploitation zero-click via iMessage est possible.

05 — DétectionLes signaux d'une infection

Les malwares modernes sont conçus pour être discrets. Mais certains signaux peuvent alerter.

• Performance anormalement dégradée — ralentissements, CPU à 100% sans raison, disque qui bourdonne en permanence, ventilateurs qui tournent fort en veille.
• Activité réseau inhabituelle — connexions vers des domaines ou IPs inconnus, trafic sortant élevé sans raison identifiable.
• Processus suspects — processus que l'utilisateur ne reconnaît pas, avec des noms ressemblants à des processus système légitimes (svchost32 au lieu de svchost).
• Fichiers nouveaux ou modifiés — notamment dans les dossiers AppData, Temp, ProgramData.
• Tâches planifiées ou services créés que personne n'a installés.
• Antivirus ou EDR désactivé silencieusement : signal très alarmant.
• Popup ou publicités inhabituelles, redirections navigateur.
• Extensions de navigateur non installées par l'utilisateur.
• Changements dans les moteurs de recherche ou la page d'accueil.
• Notifications de sécurité : l'EDR ou le SOC déclenche une alerte.

Dans les environnements professionnels bien équipés, la détection ne repose pas sur l'œil humain mais sur l'EDR, le SOC, et les outils de corrélation de logs (SIEM). Les utilisateurs jouent un rôle de signalement des comportements étranges, pas de diagnostic.

06 — ProtectionDéfense en profondeur contre les malwares

07 — CriseRéagir à une infection confirmée

L'objectif des premières minutes est de contenir avant de nettoyer. L'erreur classique est de vouloir éradiquer immédiatement ce qu'on voit, ce qui alerte l'attaquant et peut accélérer une exfiltration ou un chiffrement.

1. Isoler les machines infectées du réseau, sans pour autant les éteindre (préserver les preuves mémoire). Débrancher physiquement ou isoler via l'EDR.
2. Ne pas éteindre sauf nécessité absolue — la RAM contient souvent des informations critiques pour l'investigation (clés, processus, connexions).
3. Activer la cellule de crise : DSI, RSSI, direction, juridique, communication, cyber-assurance.
4. Préserver les preuves : snapshots mémoire, copies disque, logs réseau et applicatifs. Essentiel pour l'investigation et les éventuelles suites judiciaires.
5. Contenir la propagation : identifier et isoler toutes les machines potentiellement compromises, révoquer les sessions, changer les mots de passe des comptes à risque.
6. Impliquer un prestataire spécialisé si la gravité le justifie. Les CERT privés et publics (CERT-FR) peuvent apporter une expertise d'investigation et de réponse.
7. Déposer plainte — obligatoire pour activer la cyber-assurance et pour certaines obligations légales (notification CNIL sous 72h si données personnelles impactées).
8. Communiquer : transparence mesurée avec les collaborateurs, partenaires, clients. Le silence total et la négation sont les pires stratégies à long terme.
9. Remédier : reconstruction propre des systèmes compromis, à partir des sauvegardes fiables, avec renforcement des contrôles d'origine.
10. Retour d'expérience formel : quelle faille, quelles défaillances, quels ajustements pour éviter la récidive.

08 — FAQQuestions fréquentes

Qui crée les malwares ?

Principalement des groupes cybercriminels organisés, motivés par le profit. Également des acteurs étatiques pour l'espionnage ou le sabotage (Chine, Russie, Corée du Nord, Israël, États-Unis, Iran tous documentés). Plus rarement des individus isolés ou des groupes hacktivistes. Le malware est aujourd'hui une industrie structurée, avec ses éditeurs, ses distributeurs, ses affiliés et ses marchés.

Mes sauvegardes me protègent-elles ?

Partiellement. Elles permettent la reprise après ransomware si elles sont correctement configurées (hors ligne ou immuables, testées régulièrement). Elles ne protègent pas contre l'exfiltration de données ni contre la destruction qui précède parfois le chiffrement. La sauvegarde est nécessaire mais pas suffisante.

Puis-je payer la rançon si je suis infecté ?

Juridiquement possible en France, mais fortement déconseillé : aucune garantie de récupération, financement de l'écosystème criminel, probabilité accrue de récidive. De plus, le paiement peut exposer à des sanctions internationales si le groupe est sous embargo (OFAC américain notamment). La cyber-assurance couvre parfois le paiement mais durcit ses conditions.

Un ordinateur personnel peut-il infecter le réseau de l'entreprise ?

Oui, principalement via les connexions VPN, le partage de fichiers, ou les comptes synchronisés. C'est pourquoi le BYOD non encadré est un risque majeur et pourquoi les architectures zero trust prennent systématiquement en compte l'hygiène de l'appareil avant d'accorder un accès.

Un malware peut-il rester dormant longtemps ?

Oui. Les infections sophistiquées peuvent rester silencieuses pendant des mois, voire des années (le cas SolarWinds a été détecté plus de 9 mois après compromission). Les malwares étatiques sont conçus pour la persistance longue. Les malwares criminels grand public tendent à agir plus vite, mais les phases de reconnaissance qui précèdent un ransomware durent typiquement plusieurs semaines.