Un logiciel malveillant, ou malware, est un programme conçu pour nuire : voler, chiffrer, espionner ou détruire. On entend souvent « virus » comme un mot fourre-tout, mais il existe en réalité plusieurs familles, aux buts et aux modes de propagation différents. Cette page fait le tri : elle explique la différence entre virus, ver, cheval de Troie, rançongiciel, logiciel espion, rootkit et compagnie, avec un exemple concret pour chacun. Aucun prérequis, elle s'adresse aux personnes qui débutent en cybersécurité.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »Comprendre les familles de malwares aide à saisir comment une attaque se propage et ce qu'elle cherche à faire. Concrètement, vous saurez :
- Définir ce qu'est un malware et distinguer ses grandes familles.
- Séparer deux questions souvent confondues : comment un malware se propage, et ce qu'il fait une fois installé.
- Reconnaître virus, ver, cheval de Troie, rançongiciel, spyware, rootkit, botnet et voleur d'identifiants, avec un exemple par type.
- Appliquer les protections de base communes à tous les malwares.
- Situer ces logiciels dans le déroulé d'une attaque, où ils servent d'outil à plusieurs étapes.
Malware : un mot qui en cache plusieurs
Section intitulée « Malware : un mot qui en cache plusieurs »Le mot malware vient de l'anglais malicious software, littéralement logiciel malveillant. C'est le terme générique pour tout programme écrit dans le but de causer un tort : prendre le contrôle d'une machine, voler des informations, rendre des données inutilisables ou saboter un service.
Dans le langage courant, on dit « virus » pour tout et n'importe quoi. C'est une erreur utile à corriger : le virus n'est qu'une famille parmi d'autres, et elle n'est même plus la plus répandue aujourd'hui. Nommer correctement chaque type aide à comprendre comment il arrive et comment s'en défendre.
Deux questions à ne pas confondre
Section intitulée « Deux questions à ne pas confondre »C'est la clé pour s'y retrouver : un malware se décrit sur deux axes différents, et beaucoup de confusions viennent de leur mélange.
- Comment il se propage : par un fichier infecté (virus), tout seul sur le réseau (ver), ou en se déguisant en logiciel utile (cheval de Troie).
- Ce qu'il fait une fois en place : chiffrer contre rançon (rançongiciel), espionner (spyware), se cacher (rootkit), détruire (wiper).
Les familles de propagation
Section intitulée « Les familles de propagation »Ces trois familles se distinguent par leur façon de se répandre.
Le virus est un code qui s'attache à un fichier ou un programme légitime. Il ne se déclenche que lorsque la victime ouvre ce fichier, et se copie alors dans d'autres fichiers. Comme un virus biologique, il a besoin d'un hôte pour se propager. C'est la forme historique, aujourd'hui moins courante que les autres.
Le ver (worm) se propage tout seul, sans action de l'utilisateur, en exploitant des failles réseau de machine en machine. C'est ce qui le rend redoutable : il se réplique à grande vitesse. Le ver WannaCry de 2017 s'est répandu mondialement en quelques heures en exploitant une faille du protocole de partage de fichiers Windows.
Le cheval de Troie (trojan) se déguise en logiciel légitime pour que la victime l'installe elle-même. Il ne se réplique pas : il compte sur la ruse. Un faux utilitaire, une pièce jointe piégée, une bibliothèque open source compromise sont des chevaux de Troie. Le cas du paquet axios piégé sur npm, qui déposait un accès distant, en est un exemple récent côté chaîne logicielle.
Les familles de charge : ce que le malware vient faire
Section intitulée « Les familles de charge : ce que le malware vient faire »Une fois entré, le malware exécute sa charge utile, son objectif réel. Voici les types les plus courants, du plus visible au plus discret.
| Type | Ce qu'il fait | Exemple |
|---|---|---|
| Rançongiciel | Chiffre les données et exige une rançon | LockBit, WannaCry |
| Logiciel espion (spyware) | Surveille l'activité en secret | Enregistreurs de frappe |
| Voleur d'identifiants (stealer) | Aspire mots de passe et jetons | Voleurs de portefeuilles |
| Cheval de Troie d'accès distant (RAT) | Donne le contrôle à distance | Accès complet à la machine |
| Rootkit | Se cache très profond pour survivre | Rootkits noyau, eBPF |
| Porte dérobée (backdoor) | Laisse un accès discret ouvert | Compte caché, service furtif |
| Botnet | Enrôle la machine dans un réseau de zombies | Réseaux de déni de service |
| Cryptomineur | Détourne la puissance de calcul | Minage de cryptomonnaie caché |
| Wiper | Détruit les données, sans rançon | Sabotage pur |
Deux mots méritent une définition. Un rootkit est un malware conçu pour se rendre invisible : il se loge au plus près du système d'exploitation pour échapper aux outils de détection. Des scanners dédiés comme RKHunter cherchent justement ces traces. Un botnet est un réseau de machines infectées (des « zombies ») pilotées à distance par un attaquant, souvent pour lancer des attaques par déni de service ou envoyer du courrier indésirable en masse.
Le rançongiciel est aujourd'hui la charge la plus coûteuse pour les organisations. Son fonctionnement, sa double extorsion et les parades sont détaillés sur sa page dédiée.
Des malwares qui se combinent
Section intitulée « Des malwares qui se combinent »Les malwares modernes sont rarement d'un seul type : ils s'assemblent. Un cheval de Troie livre un loader (un petit programme dont le seul rôle est d'installer la suite), qui télécharge ensuite un voleur d'identifiants puis un rançongiciel. Cette modularité est renforcée par le marché du Malware-as-a-Service, où des kits clés en main se louent, décrit dans la phase d'armement d'une attaque.
C'est pourquoi un malware se lit toujours dans le contexte d'une chaîne d'attaque complète, pas comme un objet isolé. Le hameçonnage sert souvent à livrer le premier maillon.
Comment se protéger
Section intitulée « Comment se protéger »Les familles diffèrent, mais les défenses de base sont communes et efficaces contre la grande majorité des malwares.
- Mises à jour : un système et des logiciels à jour ferment les failles que les vers et les exploits utilisent pour entrer.
- Antivirus et EDR : un antivirus détecte les malwares connus ; un EDR (Endpoint Detection and Response, un outil qui surveille le comportement des postes) repère les comportements suspects, même inconnus.
- Méfiance à l'installation : ne pas ouvrir les pièces jointes inattendues, ne pas installer de logiciel de source douteuse. C'est la parade au cheval de Troie.
- Moindre privilège : travailler avec un compte non administrateur limite ce qu'un malware peut faire une fois lancé.
- Sauvegardes isolées : une sauvegarde hors ligne est la meilleure réponse au rançongiciel comme au wiper.
À retenir
Section intitulée « À retenir »-
Malware est un terme générique : virus, ver, cheval de Troie et les autres en sont des familles, pas des synonymes.
-
Deux axes à distinguer : la façon de se propager (virus, ver, cheval de Troie) et ce que le malware fait une fois là (rançongiciel, spyware, rootkit).
-
Le ver se propage seul, le virus a besoin d'un fichier hôte, le cheval de Troie compte sur la ruse de l'utilisateur.
-
Les malwares modernes se combinent : un cheval de Troie installe un loader, qui déploie une charge, souvent louée en Malware-as-a-Service.
-
Les défenses de base sont communes : mises à jour, antivirus/EDR, méfiance à l'installation, moindre privilège et sauvegardes isolées.