Jeu-concours

3 licences Salfeld à gagner (valeur 90 €)

Contrôle parental Windows + Android, testé et anti-contournement

Participation gratuite Conforme RGPD Tirage ce vendredi soir
Participer sur LinkedIn
Skip to content
#315 / CYBERSéCURITé

Les 8 catégories de logiciels malveillants à éviter

Ne soyez plus dans le flou ! Explorez les diverses catégories de logiciels malveillants et armez-vous de connaissances pour sécuriser votre système.

13 min Adrien
Quels sont les différentes catégories de logiciel malveillant

Tout logiciel malveillant cherche à se propager, mais les méthodes divergent. D’un côté, les virus s’accrochent à des fichiers existants pour se dupliquer. De l’autre, les vers voyagent seuls sur le réseau sans aucun fichier hôte. Cette séparation n’est que la pointe de l’iceberg, il existe 8 grandes familles de malwares, chacune avec son mode opératoire, son objectif propre et son niveau de furtivité.

Au programme de cet article

Ce que vous croyez savoir sur les virus informatiques est faux

La quasi-totalité des gens utilisent le mot virus pour désigner l’ensemble des logiciels malveillants. C’est inexact. Le terme générique est malware (contraction de malicious software). Les virus ne sont qu’une sous-catégorie parmi 8. Un ransomware qui chiffre vos fichiers n’est pas un virus. Un spyware qui envoie vos mots de passe à l’autre bout du monde non plus.

Cette confusion pousse à se croire protégé par un antivirus alors qu’un autre type de malware, que l’antivirus ne détecte pas, est actif sur la machine.

Les 8 catégories de logiciels malveillants hiérarchie complète

Pourquoi votre antivirus ne voit pas tout ?

Un antivirus classique fonctionne par signature, il compare chaque fichier à une base de données de malwares connus. Efficace contre les menaces répertoriées. Aveugle contre le reste.

Trois catégories lui échappent systématiquement :

  • Les rootkits kernel/UEFI : ils s’installent sous le niveau de l’OS et modifient les appels système avant que l’antivirus ne se charge. L’outil de sécurité voit zéro menace parce qu’il est aveugle.
  • Les malwares fileless : ils s’exécutent entièrement en mémoire vive (RAM) en détournant PowerShell ou WMI. Aucun fichier sur le disque, aucune signature à comparer.
  • Les variantes zero-day : un ransomware utilisant un vecteur non répertorié passe les contrôles jusqu’à l’ajout de sa signature jusqu’à plusieurs jours après les premières victimes.

La protection comportementale (EDR, sandbox) répond à ces angles morts. L’antivirus classique seul ne l’est pas.

Les 8 catégories de malwares, classification des menaces

1. Les virus informatiques et mécanismes de réplication dans vos fichiers

Un virus s’attache à un fichier exécutable existant et se réplique quand ce fichier est ouvert. Il a besoin d’une action humaine pour se propager (ouvrir une pièce jointe, lancer un programme téléchargé). C’est la catégorie la plus ancienne et la plus connue, mais plus la plus répandue aujourd’hui.

Les virus informatiques : mode opératoire et protection

Mode opératoire des virus

  • Ils s’attachent à un fichier exécutable (.exe, .doc avec macro, script).
  • Ils se répliquent à chaque ouverture du fichier infecté.
  • Peut corrompre des fichiers, voler des données ou servir de vecteur pour d’autres malwares.

Les signes que vous êtes infecté par un virus

  • Ralentissement inexpliqué à l’ouverture de certains fichiers.
  • Fichiers corrompus ou supprimés sans intervention.
  • Activité disque anormale au démarrage.

Que faire si vous êtes infecté par un virus ?

  1. Utiliser un antivirus gratuit à jour efficace sur les virus connus (par signature).
  2. Ne jamais ouvrir des pièces jointes d’expéditeurs inconnus.
  3. Mises à jour système régulières pour fermer les vulnérabilités exploitées.

2. Les vers informatiques (worms) et propagation sur les réseaux

La différence fondamentale avec un virus c’est que le ver n’a pas besoin d’un fichier hôte ni d’une action humaine. Il exploite une faille réseau ou système et se propage seul, de machine en machine. C’est ce qui le rend infiniment plus rapide.

WannaCry, mai 2017 : en exploitant la faille EternalBlue (développée par la NSA, volée et divulguée par les Shadow Brokers), ce ver-ransomware a infecté plus de 200 000 systèmes dans 150 pays en moins de 72 heures, le NHS britannique, Telefónica, Renault. La faille Windows SMBv1 exploitée était pourtant corrigée par Microsoft deux mois plus tôt.

Source : EUROPOL : Wikipedia WannaCry

Mode opératoire des vers informatiques

  • Ils scannent le réseau à la recherche d’appareils vulnérables.
  • Ils exploitent une faille pour se copier sur la cible sans interaction de l’utilisateur.
  • Peut être transporter une charge utile pour une attaque : ransomware, backdoor, bot DDoS.

Les signes que vous êtes infecté par des vers informatiques

  • Ralentissement réseau global (le ver génère du trafic en cherchant de nouvelles cibles).
  • Connexions réseau sortantes anormales la nuit.
  • Redémarrages inexpliqués sur plusieurs machines d’un réseau partagé.

Que faire si vous êtes infecté par des vers ?

  1. Appliquer les mises à jour de sécurité immédiatement, WannaCry exploitait une faille déjà corrigée.
  2. Pare-feu réseau avec ports non nécessaires bloqués (SMB, RDP).
  3. Isoler les machines critiques pour limiter la propagation latérale.

3. Les chevaux de Troie (trojans) et techniques d’infiltration par des logiciels légitimes

Le cheval de Troie se présente comme un logiciel légitime, un jeu piraté, un utilitaire gratuit, une fausse mise à jour Adobe. Une fois exécuté, il installe une porte dérobée (backdoor) qui donne à l’attaquant un accès persistant à la machine à l’insu total de l’utilisateur.

Les chevaux de Troie informatiques : mode opératoire et risques
L’origine du terme :
Dans la mythologie grecque, les Grecs incapables de prendre Troie après 10 ans de siège abandonnèrent en apparence, laissant un cheval de bois géant. Les Troyens le firent entrer comme trophée. La nuit, les soldats cachés à l’intérieur ouvrirent les portes. La métaphore est que le danger se dissimule dans ce qui semble inoffensif.

Le trojan n’est généralement pas la menace finale. Il est le vecteur d’entrée. Une fois installé, il télécharge d’autres composants (keylogger pour les identifiants, ransomware pour le chiffrement, cryptominer pour exploiter votre CPU). Désinstaller l’application visible ne règle rien car les composants fantômes persistent dans des répertoires système distincts.

Mode opératoire des chevaux de Troie

  • Se déguise en logiciel légitime pour déclencher une installation volontaire.
  • Ouvre une porte dérobée pour l’accès à distance (RAT, Remote Access Trojan).
  • Installe d’autres malwares en arrière-plan : keylogger, ransomware, spyware.

Les signes que vous êtes infecté par un cheval de Troie

  • Processus inconnus dans le gestionnaire des tâches consommant réseau ou CPU sans raison.
  • Connexions sortantes vers des IP inconnues.
  • Comptes en ligne auxquels vous accédez depuis des localisations que vous ne reconnaissez pas.

Que faire si vous êtes infecté par un cheval de Troie ?

  1. Télécharger uniquement depuis les sources officielles, évitez les sites de logiciels cracks ou keygen.
  2. Activer la protection comportementale (pas seulement la signature) de l’antivirus.
  3. Vérifier les fichiers suspects avant exécution.

4. Les spywares (logiciels espions) interceptent vos mots de passe et données

Le spyware collecte vos données sans que vous le sachiez, mots de passe tapés au clavier (keylogger), captures d’écran, historiques de navigation, conversations. Tout part vers un serveur tiers. Sa principale qualité est la furtivité, un spyware bien conçu peut rester actif des mois sans aucune anomalie de performance visible.

Spywares (logiciels espions) : signes d'infection et protection

Mode opératoire des spywares

  • S’installe discrètement via un logiciel tiers (bundleware) ou un téléchargement malveillant.
  • Enregistre les frappes clavier, capture les mots de passe, screenshots, historiques.
  • Transmet les données collectées à intervalles réguliers vers un serveur de commande.

Les signes que vous êtes infecté par un spyware

  • Activité réseau sortante inexpliquée, surtout la nuit.
  • Connexions depuis des localisations inconnues dans vos comptes en ligne.
  • Ralentissement très progressif sur plusieurs semaines.

Que faire si vous êtes infecté par un spyware ?

  1. Authentification à deux facteurs (2FA) sur tous les comptes importants, même si un keylogger capture votre mot de passe, le 2FA bloque l’accès.
  2. Lire les options d’installation, le bundleware se cache dans les cases pré-cochées.
  3. Scanner régulier avec Malwarebytes spécialisé contre spywares et adwares là où un antivirus classique est moins efficace.

5. Les ransomwares chiffrement asymétrique de vos données

Le ransomware chiffre vos fichiers avec un algorithme cryptographique asymétrique (AES-256 + RSA-2048). Sans la clé privée détenue par l’attaquant, le déchiffrement est mathématiquement impossible. Il exige ensuite une rançon en cryptomonnaie pour vous la fournir.

Ransomwares : mode opératoire, chiffrement et protection des données

Les ransomwares professionnels scannent en priorité les lecteurs réseau et les sauvegardes connectées avant de lancer le chiffrement. Une sauvegarde branchée en permanence au PC ne protège pas, elle est chiffrée en même temps que le reste. Seule une sauvegarde déconnectée résiste.

Faut-il payer la rançon ?
Non. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) déconseille formellement le paiement : près d’une victime sur deux ne récupère pas l’intégralité de ses données même après avoir payé, et le paiement finance directement les prochaines attaques. Première action : déconnecter les machines du réseau, puis signaler sur Cybermalveillance.gouv.fr. (Source : ANSSI, Panorama de la Cybermenace 2023 + Cybermalveillance.gouv.fr)

Aujourd’hui, la majorité des ransomwares opèrent en mode RaaS (Ransomware-as-a-Service). L’opérateur loue son malware à des affiliés qui n’ont pas besoin de savoir coder, ils touchent environ 70 % de la rançon, le développeur les 30 % restants. C’est un marché structuré.

Les ransomwares sont la première cause de sinistre cyber en Europe selon l’ENISA (Agence de l’Union Européenne pour la Cybersécurité) Threat Landscape 2023.

Mode opératoire des ransomwares

  • Entrée via phishing, port RDP exposé non protégé, ou téléchargement malveillant.
  • Phase silencieuse : exploration et propagation latérale dans le réseau avant le chiffrement.
  • Chiffrement des fichiers + sauvegardes connectées, puis demande de rançon.

Signes avant le chiffrement (détection précoce possible)

  • Processus PowerShell ou cmd.exe qui s’exécutent brièvement en dehors des heures d’utilisation.
  • Tentatives de désactivation du service VSS (Shadow Copy) de Windows dans les logs.
  • Activité disque ou réseau anormale la nuit sur plusieurs postes.

Que faire pour ne pas être infecté par un ransomware ?

  1. Règle 3-2-1 recommandée par l’ANSSI : 3 copies des données, sur 2 supports différents, dont 1 hors ligne et déconnectée. Tester la restauration régulièrement.
  2. Mises à jour immédiates pour les accès distants (RDP, VPN).
  3. Formation des utilisateurs au phishing car 90 % des ransomwares entrent par ingénierie sociale ou e-mail malveillant.

6. Les adwares et injection de publicités intempestives sur votre navigateur

L’adware affiche des publicités non sollicitées (pop-ups, redirections de navigateur, bannières) dans des pages légitimes. Il est le plus souvent installé via des logiciels gratuits (freeware) qui monétisent l’installation en bundlant un adware dans le processus, caché dans les cases pré-cochées de l’installeur.

Adwares : publicités intrusives, signes d'infection et protection

La frontière entre adware et spyware est plus juridique, pas technique car certains adwares intègrent un composant de tracking comportemental. Légalement installé (case cochée dans l’installeur) ne signifie pas inoffensif.

Mode opératoire des adwares

Que faire si vous êtes infecté par un adware ?

  1. Utiliser l’installation personnalisée pour décocher les composants optionnels.
  2. Bloqueur de publicités dans le navigateur (uBlock Origin est la référence open source).
  3. Scanner anti-malware après toute installation depuis une source non officielle.

7. Les rootkits et modification profonde des composants bas niveau du système

Le rootkit est conçu pour être invisible. Il modifie les composants bas-niveau du système d’exploitation pour masquer sa présence et masquer celle de tous les autres malwares qu’il abrite. C’est le garde du corps du cybercriminel.

Rootkits : furtivité, persistance et détection

LoJax, découvert par ESET en 2018, était le premier rootkit UEFI utilisé dans une attaque. Il survit au formatage complet du disque dur et à la réinstallation du système d’exploitation. Il loge dans le firmware de la carte mère. Seul un flash BIOS/UEFI l’élimine, une opération hors de portée de la plupart des particuliers.

Source : ESET Research : LoJax whitepaper 2018

Mode opératoire des rootkits

  • S’intègre au niveau du noyau (kernel) ou du firmware (UEFI/BIOS).
  • Intercepte les appels système pour se rendre invisible aux antivirus et aux outils d’administration.
  • Protège les autres malwares présents sur le système et maintient l’accès persistant.

Les signes que vous êtes infecté par un rootkits

  • Comportement anormal que les outils de diagnostic ne peuvent pas expliquer.
  • Antivirus qui signale des erreurs de module sans raison apparente.
  • Activité réseau sortante ne correspondant à aucun processus visible.

Que faire si vous êtes infecté par un rootkit ?

  1. Outils de détection spécialisés (GMER, Malwarebytes Anti-Rootkit) car un antivirus classique ne suffit pas.
  2. Activer Secure Boot dans le BIOS pour bloquer les rootkits UEFI non signés.

8. Les malwares fileless et exécution directe en mémoire vive sans fichier

Un malware fileless ne s’installe pas sur le disque dur. Il s’exécute entièrement en mémoire vive (RAM) en détournant des outils légitimes et déjà présents sur votre système : PowerShell, WMI (Windows Management Instrumentation), le registre Windows. Quand la machine redémarre, la RAM est effacée, le malware disparaît. Mais il a eu le temps d’exfiltrer des données, d’installer d’autres composants ou de préparer un ransomware.

Ce mode opératoire est appelé Living off the Land (LotL) dans la communauté cybersécurité : l’attaquant utilise les outils de la maison pour attaquer la maison. Aucun fichier malveillant à détecter, aucune signature à comparer. Les antivirus classiques sont inutiles contre ce vecteur.

Mode opératoire des malwares sans fichier

  • Entrée via un script malveillant (macro Office, lien de phishing) qui charge du code directement en mémoire.
  • Utilise PowerShell ou WMI pour persister sans écrire de fichier sur le disque.
  • Exfiltre des données ou installe d’autres composants, puis disparaît au redémarrage.

Que faire si vous êtes infecté par un malware sans fichier ?

  1. Désactiver les macros Office par défaut (politique de groupe) qui est le principal vecteur d’entrée.
  2. Restreindre l’exécution de PowerShell aux scripts signés.
  3. Solution EDR (Endpoint Detection and Response) seul type d’outil capable de détecter les comportements anormaux en mémoire.

L’ingénierie sociale, vecteur d’infection dominant

Toutes les catégories ci-dessus ont besoin d’entrer quelque part. L’ingénierie sociale exploite la psychologie humaine, pas une faille technique. Un e-mail qui imite parfaitement une notification de votre banque. Un SMS suivi de colis. Une publicité sur un site d’actualités légitime.

Vous n’avez pas besoin de cliquer sur un lien suspect. Les ransomwares transitent aujourd’hui via des publicités affichées sur des sites parfaitement légitimes dont les réseaux publicitaires ont été compromis (malvertising). Vous visitez un site que vous connaissez, une publicité charge un exploit en arrière-plan, le malware s’installe. Vous n’avez rien fait d’anormal.

Pour vous protéger, utilisez un navigateur à jour, un bloqueur de publicités actif (uBlock Origin) et JavaScript restreint sur les sites inconnus.

Questions fréquentes sur les logiciels malveillants

Faut-il payer la rançon si on est victime d’un ransomware ?

L’ANSSI déconseille formellement le paiement . Cybermalveillance.gouv.fr confirme que le paiement ne garantit pas la récupération des données (près d’une victime sur deux n’y parvient pas). Le paiement finance les prochaines attaques et peut exposer à des demandes répétées.

Un Mac ou un smartphone peut-il être infecté par un malware ?

La moindre exposition des Mac est liée à une plus faible part de marché historique, pas à une sécurité intrinsèque supérieure. Les smartphones sont vulnérables aux spywares commerciaux et aux adwares via applications tierces. iOS est plus résistant qu’Android, mais pas immunisé.

Un formatage du disque dur supprime-t-il tous les malwares ?

Un rootkit UEFI (comme LoJax) survit au formatage et à la réinstallation du système, il loge dans le firmware de la carte mère. Seul un flash BIOS/UEFI l’élimine. C’est rare, mais documenté dans des attaques.

Peut-on avoir plusieurs types de malwares simultanément ?

C’est la norme dans les attaques structurées. Un cheval de Troie installe un keylogger pour les identifiants, maintient un backdoor pour l’accès persistant et peut déclencher un ransomware en phase finale. Les infections sont rarement mono-malware.

Continuez votre lecture

Nos derniers tutoriels & actualités

> CYBERSéCURITé

J’ai testé Salfeld Child, le logiciel de contrôle parental pour Windows

Découvrez mon test de Salfeld Child Control sur Windows. Un contrôle parental européen que les ados ne peuvent pas contourner.
> CYBERSéCURITé

Hardening PC : les techniques des postes haute sécurité appliquées à votre ordinateur

Envie de protéger votre parc informatique contre les cyberattaques ? Découvrez notre guide complet sur le hardening (durcissement) du poste de travail.
> CYBERSéCURITé

Meilleur antivirus gratuit 2026, comparatif pour PC Windows

Quel est le meilleur antivirus gratuit en 2026 ? Comparatif Windows avec Bitdefender Free, Defender, Avast One Free, Avira, Malwarebytes et Kaspersky.
> CYBERSéCURITé

Windows Defender est-il suffisant en 2026 ? Avis Microsoft Defender

Windows Defender est-il suffisant en 2026 ? Avis clair avec les scores AV-TEST, AV-Comparatives, les limites phishing et les cas où payer…
> CYBERSéCURITé

J’ai testé Privazer, le logiciel qui efface vos traces de vie privée

Découvrez Privazer, l'outil qui va bien au-delà du simple nettoyage pour effacer définitivement vos traces de vie privée. Je l'ai testé pour…
En voir plus