Aller au contenu
Sécurité medium

Les types de logiciels malveillants (malwares)

9 min de lecture

Un logiciel malveillant, ou malware, est un programme conçu pour nuire : voler, chiffrer, espionner ou détruire. On entend souvent « virus » comme un mot fourre-tout, mais il existe en réalité plusieurs familles, aux buts et aux modes de propagation différents. Cette page fait le tri : elle explique la différence entre virus, ver, cheval de Troie, rançongiciel, logiciel espion, rootkit et compagnie, avec un exemple concret pour chacun. Aucun prérequis, elle s'adresse aux personnes qui débutent en cybersécurité.

Comprendre les familles de malwares aide à saisir comment une attaque se propage et ce qu'elle cherche à faire. Concrètement, vous saurez :

  • Définir ce qu'est un malware et distinguer ses grandes familles.
  • Séparer deux questions souvent confondues : comment un malware se propage, et ce qu'il fait une fois installé.
  • Reconnaître virus, ver, cheval de Troie, rançongiciel, spyware, rootkit, botnet et voleur d'identifiants, avec un exemple par type.
  • Appliquer les protections de base communes à tous les malwares.
  • Situer ces logiciels dans le déroulé d'une attaque, où ils servent d'outil à plusieurs étapes.

Le mot malware vient de l'anglais malicious software, littéralement logiciel malveillant. C'est le terme générique pour tout programme écrit dans le but de causer un tort : prendre le contrôle d'une machine, voler des informations, rendre des données inutilisables ou saboter un service.

Dans le langage courant, on dit « virus » pour tout et n'importe quoi. C'est une erreur utile à corriger : le virus n'est qu'une famille parmi d'autres, et elle n'est même plus la plus répandue aujourd'hui. Nommer correctement chaque type aide à comprendre comment il arrive et comment s'en défendre.

C'est la clé pour s'y retrouver : un malware se décrit sur deux axes différents, et beaucoup de confusions viennent de leur mélange.

  • Comment il se propage : par un fichier infecté (virus), tout seul sur le réseau (ver), ou en se déguisant en logiciel utile (cheval de Troie).
  • Ce qu'il fait une fois en place : chiffrer contre rançon (rançongiciel), espionner (spyware), se cacher (rootkit), détruire (wiper).

Ces trois familles se distinguent par leur façon de se répandre.

Le virus est un code qui s'attache à un fichier ou un programme légitime. Il ne se déclenche que lorsque la victime ouvre ce fichier, et se copie alors dans d'autres fichiers. Comme un virus biologique, il a besoin d'un hôte pour se propager. C'est la forme historique, aujourd'hui moins courante que les autres.

Le ver (worm) se propage tout seul, sans action de l'utilisateur, en exploitant des failles réseau de machine en machine. C'est ce qui le rend redoutable : il se réplique à grande vitesse. Le ver WannaCry de 2017 s'est répandu mondialement en quelques heures en exploitant une faille du protocole de partage de fichiers Windows.

Le cheval de Troie (trojan) se déguise en logiciel légitime pour que la victime l'installe elle-même. Il ne se réplique pas : il compte sur la ruse. Un faux utilitaire, une pièce jointe piégée, une bibliothèque open source compromise sont des chevaux de Troie. Le cas du paquet axios piégé sur npm, qui déposait un accès distant, en est un exemple récent côté chaîne logicielle.

Les familles de charge : ce que le malware vient faire

Section intitulée « Les familles de charge : ce que le malware vient faire »

Une fois entré, le malware exécute sa charge utile, son objectif réel. Voici les types les plus courants, du plus visible au plus discret.

TypeCe qu'il faitExemple
RançongicielChiffre les données et exige une rançonLockBit, WannaCry
Logiciel espion (spyware)Surveille l'activité en secretEnregistreurs de frappe
Voleur d'identifiants (stealer)Aspire mots de passe et jetonsVoleurs de portefeuilles
Cheval de Troie d'accès distant (RAT)Donne le contrôle à distanceAccès complet à la machine
RootkitSe cache très profond pour survivreRootkits noyau, eBPF
Porte dérobée (backdoor)Laisse un accès discret ouvertCompte caché, service furtif
BotnetEnrôle la machine dans un réseau de zombiesRéseaux de déni de service
CryptomineurDétourne la puissance de calculMinage de cryptomonnaie caché
WiperDétruit les données, sans rançonSabotage pur

Deux mots méritent une définition. Un rootkit est un malware conçu pour se rendre invisible : il se loge au plus près du système d'exploitation pour échapper aux outils de détection. Des scanners dédiés comme RKHunter cherchent justement ces traces. Un botnet est un réseau de machines infectées (des « zombies ») pilotées à distance par un attaquant, souvent pour lancer des attaques par déni de service ou envoyer du courrier indésirable en masse.

Le rançongiciel est aujourd'hui la charge la plus coûteuse pour les organisations. Son fonctionnement, sa double extorsion et les parades sont détaillés sur sa page dédiée.

Les malwares modernes sont rarement d'un seul type : ils s'assemblent. Un cheval de Troie livre un loader (un petit programme dont le seul rôle est d'installer la suite), qui télécharge ensuite un voleur d'identifiants puis un rançongiciel. Cette modularité est renforcée par le marché du Malware-as-a-Service, où des kits clés en main se louent, décrit dans la phase d'armement d'une attaque.

C'est pourquoi un malware se lit toujours dans le contexte d'une chaîne d'attaque complète, pas comme un objet isolé. Le hameçonnage sert souvent à livrer le premier maillon.

Les familles diffèrent, mais les défenses de base sont communes et efficaces contre la grande majorité des malwares.

  • Mises à jour : un système et des logiciels à jour ferment les failles que les vers et les exploits utilisent pour entrer.
  • Antivirus et EDR : un antivirus détecte les malwares connus ; un EDR (Endpoint Detection and Response, un outil qui surveille le comportement des postes) repère les comportements suspects, même inconnus.
  • Méfiance à l'installation : ne pas ouvrir les pièces jointes inattendues, ne pas installer de logiciel de source douteuse. C'est la parade au cheval de Troie.
  • Moindre privilège : travailler avec un compte non administrateur limite ce qu'un malware peut faire une fois lancé.
  • Sauvegardes isolées : une sauvegarde hors ligne est la meilleure réponse au rançongiciel comme au wiper.
  1. Malware est un terme générique : virus, ver, cheval de Troie et les autres en sont des familles, pas des synonymes.

  2. Deux axes à distinguer : la façon de se propager (virus, ver, cheval de Troie) et ce que le malware fait une fois là (rançongiciel, spyware, rootkit).

  3. Le ver se propage seul, le virus a besoin d'un fichier hôte, le cheval de Troie compte sur la ruse de l'utilisateur.

  4. Les malwares modernes se combinent : un cheval de Troie installe un loader, qui déploie une charge, souvent louée en Malware-as-a-Service.

  5. Les défenses de base sont communes : mises à jour, antivirus/EDR, méfiance à l'installation, moindre privilège et sauvegardes isolées.

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracking. Un soutien, même symbolique, m'aide à couvrir l'hébergement et à garder ces ressources gratuites. Merci pour votre appui.

Le formulaire ne s'affiche pas ? Ouvrir Ko-fi dans un onglet.

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn