Malware (logiciel malveillant)

Les types de malware

Le mot « malware » est un terme générique. En pratique, chaque famille de malware a un objectif et un mode opératoire différent. Voici la taxonomie à connaître.

Virus

Le plus ancien des malwares. Un virus s’attache à un fichier ou programme légitime et s’active quand l’utilisateur ouvre ce fichier. Il se réplique en infectant d’autres fichiers sur la machine. Les virus classiques sont aujourd’hui minoritaires, mais le terme reste ancré dans le langage courant — d’où la confusion fréquente entre « virus » et « malware ».

Ver (worm)

Contrairement au virus, un ver n’a pas besoin d’un fichier hôte ni d’une action humaine pour se propager. Il exploite des vulnérabilités réseau pour passer d’une machine à l’autre de manière autonome. WannaCry (2017) en est l’exemple le plus connu : en exploitant une faille Windows (EternalBlue), il a infecté plus de 200 000 machines dans 150 pays en quelques heures.

Cheval de Troie (trojan)

Un programme qui se présente comme légitime — une mise à jour, un utilitaire gratuit, un document attendu — mais qui embarque une charge malveillante. Les chevaux de Troie servent souvent de porte d’entrée : une fois installés, ils téléchargent d’autres malwares (ransomware, spyware) ou ouvrent un accès distant à l’attaquant. Emotet, qui a massivement ciblé les entreprises françaises entre 2020 et 2023, fonctionnait sur ce modèle.

Ransomware (rançongiciel)

Le malware le plus redouté des entreprises. Un ransomware chiffre les fichiers du système et exige le paiement d’une rançon pour les déchiffrer. La plupart des groupes pratiquent désormais la double extorsion : chiffrement des données ET menace de publication. Les PME françaises sont particulièrement visées, avec un coût moyen supérieur à 150 000 euros par incident.

Spyware (logiciel espion)

Un spyware collecte des informations à l’insu de l’utilisateur : historique de navigation, identifiants de connexion, documents consultés, captures d’écran. En contexte professionnel, les spywares servent à l’espionnage industriel ou à la préparation d’attaques plus ciblées. Pegasus, développé par NSO Group, est le spyware le plus médiatisé — utilisé pour surveiller des journalistes, avocats et dirigeants politiques.

Keylogger (enregistreur de frappe)

Un keylogger enregistre chaque touche tapée au clavier : mots de passe, numéros de carte bancaire, messages, identifiants. Il peut être logiciel (installé via un cheval de Troie) ou matériel (un petit dispositif branché entre le clavier et l’ordinateur). Les keyloggers sont souvent un composant d’un malware plus large plutôt qu’une menace isolée.

Rootkit

Un rootkit s’installe au niveau le plus profond du système d’exploitation — parfois dans le firmware — pour masquer la présence d’autres malwares. Il modifie les fonctions du système pour rendre la détection quasi impossible par les antivirus classiques. L’éradication d’un rootkit nécessite souvent la réinstallation complète du système.

Adware

Un adware affiche des publicités non sollicitées, redirige les recherches web et collecte des données de navigation à des fins publicitaires. Moins dangereux que les autres catégories, il reste une nuisance en entreprise : dégradation des performances, risque de redirection vers des sites malveillants, et potentiel de collecte de données professionnelles.

Wiper

Un wiper détruit les données sans possibilité de récupération et sans demande de rançon. Son objectif est purement destructif. NotPetya (2017) en est l’exemple le plus marquant : déguisé en ransomware, il détruisait en réalité les données de manière irréversible. Son impact sur Saint-Gobain en France a été estimé à 250 millions d’euros.

Comment un malware entre dans l’entreprise

Comprendre les vecteurs d’infection permet de prioriser les défenses. En entreprise, cinq canaux concentrent la grande majorité des infections.

Email de phishing — le vecteur principal

Entre 60 et 70 % des infections par malware commencent par un email. L’attaquant envoie un message qui imite un fournisseur, un collègue ou un service connu. Le malware est soit directement en pièce jointe (document Word/Excel avec macro, archive ZIP contenant un exécutable, fichier ISO), soit téléchargé quand la victime clique sur un lien.

C’est le point de connexion direct entre phishing et malware : le phishing est le moyen, le malware est la charge utile.

Drive-by download

La victime visite un site web compromis — parfois un site légitime qui a été piraté — et un malware se télécharge automatiquement en exploitant une vulnérabilité du navigateur ou d’un plugin (Flash, Java, lecteur PDF). L’utilisateur n’a rien cliqué, rien téléchargé volontairement.

Clé USB et supports physiques

Un vecteur sous-estimé. Des clés USB infectées abandonnées sur un parking ou envoyées par courrier suffisent. Plusieurs études montrent qu’entre 45 et 60 % des clés USB trouvées sont branchées par la personne qui les ramasse. En contexte industriel, les supports amovibles restent un vecteur courant pour atteindre des systèmes non connectés à Internet.

Supply chain (chaîne d’approvisionnement)

L’attaquant compromet un fournisseur de logiciels pour distribuer un malware via une mise à jour légitime. L’exemple de référence : SolarWinds (2020), où un cheval de Troie inséré dans le logiciel de supervision Orion a touché plus de 18 000 organisations dans le monde, y compris des administrations françaises.

Exploit kits

Des outils automatisés, vendus comme des services sur le dark web, qui scannent les systèmes de la victime à la recherche de vulnérabilités connues et déploient automatiquement le malware adapté. Ils exploitent principalement les logiciels non mis à jour.

Exemples concrets en France

La France figure parmi les pays européens les plus touchés par les malwares. Voici des incidents documentés et vérifiés.

Saint-Gobain et NotPetya (juin 2017) : le wiper NotPetya, initialement ciblé contre l’Ukraine, s’est propagé mondialement via le logiciel comptable MeDoc. Saint-Gobain a été l’une des entreprises les plus touchées, avec un impact estimé à 250 millions d’euros sur le chiffre d’affaires et 80 millions d’euros sur le résultat. Les systèmes de production de plusieurs usines ont été arrêtés pendant des jours.

Hôpital de Corbeil-Essonnes (août 2022) : le groupe LockBit 3.0 a déployé un ransomware qui a paralysé l’ensemble des systèmes informatiques. Rançon demandée : 10 millions de dollars. L’hôpital a fonctionné en mode dégradé pendant plusieurs semaines — dossiers patients sur papier, interventions reportées, transferts vers d’autres établissements.

Centre hospitalier de Dax (février 2021) : un ransomware a bloqué l’intégralité du système d’information. Le retour au papier a duré des mois. L’incident a mis en lumière la vulnérabilité des établissements de santé français, souvent sous-équipés en cybersécurité.

Campagnes Emotet en France (2020-2023) : le cheval de Troie Emotet a fait l’objet de multiples alertes du CERT-FR, ciblant spécifiquement les entreprises et administrations françaises. Emotet se propageait par des emails de phishing contenant des documents Word avec macros malveillantes. Une fois installé, il servait de point d’entrée pour d’autres malwares, notamment les ransomwares TrickBot et Ryuk.

Sopra Steria (octobre 2020) : l’ESN française a été frappée par le ransomware Ryuk. Le coût total a été estimé à 50 millions d’euros, incluant la remédiation technique et les pertes d’exploitation.

Les chiffres

Les statistiques ci-dessous proviennent de sources vérifiables et récentes.

• 450 000 nouveaux malwares sont détectés chaque jour dans le monde — AV-TEST Institute, statistiques malware
• 59 % des cyberattaques traitées par l’ANSSI en 2023 impliquaient un malware (ransomware, cheval de Troie, wiper) — ANSSI, Panorama de la cybermenace 2023
• 69 % des entreprises françaises ont été victimes d’au moins une cyberattaque en 2023, le phishing restant le premier vecteur d’infection — Baromètre du CESIN 2024
• 143 attaques par ransomware signalées à l’ANSSI en 2023 sur le périmètre français, en augmentation de 30 % par rapport à 2022 — ANSSI, Panorama de la cybermenace 2023
• 1,4 milliard de malwares enregistrés dans la base AV-TEST fin 2023 — AV-TEST Institute
• Le coût moyen d’une attaque par malware pour une PME européenne dépasse 100 000 euros en incluant la perte d’exploitation — Europol, Internet Organised Crime Threat Assessment (iOCTA)

Comment protéger votre entreprise

La protection contre les malwares repose sur plusieurs couches complémentaires. Aucune mesure isolée ne suffit.

EDR plutôt qu’antivirus classique

Les antivirus traditionnels détectent les malwares connus par signature. Contre les malwares récents ou personnalisés, ils sont dépassés. Les solutions EDR (Endpoint Detection and Response) analysent le comportement des processus en temps réel : un programme qui tente de chiffrer massivement des fichiers, de désactiver les sauvegardes ou de communiquer avec un serveur inconnu sera détecté et bloqué même s’il est inconnu des bases de signatures.

Pour les PME, des solutions EDR managées (MDR) permettent de bénéficier d’une surveillance 24/7 sans équipe sécurité dédiée.

Filtrage email et protection anti-phishing

Puisque l’email est le premier vecteur d’infection :

• Filtrage des pièces jointes : bloquer les types de fichiers dangereux (.exe, .scr, .js, .iso, .vbs) et analyser les archives
• Analyse des liens : réécriture des URLs et vérification en temps réel des sites de destination
• Sandboxing des pièces jointes : exécution des documents dans un environnement isolé avant livraison
• SPF, DKIM, DMARC correctement configurés pour empêcher l’usurpation de votre domaine

Mises à jour et gestion des correctifs

Les malwares exploitent des vulnérabilités connues pour lesquelles des correctifs existent souvent depuis des semaines ou des mois. NotPetya exploitait une faille Windows pour laquelle Microsoft avait publié un patch deux mois avant l’attaque.

Règle simple : les correctifs de sécurité doivent être appliqués sous 72 heures sur les systèmes exposés à Internet (VPN, serveurs web, passerelles email). Pour les postes de travail, sous deux semaines maximum.

Blocage des macros Office

Les macros Word et Excel restent un vecteur de premier plan pour les chevaux de Troie comme Emotet. Microsoft a commencé à bloquer les macros par défaut dans les fichiers téléchargés depuis Internet, mais cette mesure doit être renforcée par une politique de groupe (GPO) qui interdit l’exécution de macros non signées sur l’ensemble du parc.

Sandboxing et segmentation réseau

• Sandboxing : les fichiers suspects (pièces jointes, téléchargements) sont ouverts dans un environnement isolé avant d’atteindre le poste de l’utilisateur
• Segmentation réseau : isoler les systèmes critiques (serveurs de fichiers, sauvegardes, contrôleurs de domaine) du réseau des postes utilisateurs pour limiter le mouvement latéral d’un malware

Sensibilisation des équipes

La technologie seule ne bloque pas tout. Les employés restent la dernière ligne de défense — et le premier point de vulnérabilité :

• Simulations de phishing régulières pour entraîner les réflexes de détection
• Formation aux techniques d’ingénierie sociale : reconnaître l’urgence artificielle, la demande inhabituelle, le prétexte trop crédible
• Procédure de signalement claire : un bouton « signaler un email suspect » et un circuit de traitement rapide
• Politique de téléchargement : ne jamais installer de logiciel non approuvé, ne jamais brancher de clé USB trouvée

Malware et phishing

Le phishing et les malwares ne sont pas deux menaces distinctes — ce sont deux faces de la même attaque.

Le phishing est le mécanisme de livraison. Le malware est la charge utile. Dans la majorité des attaques contre les entreprises françaises, la séquence est la même :

1. Un employé reçoit un email de phishing crédible
2. Il ouvre la pièce jointe ou clique sur le lien
3. Un malware s’installe — cheval de Troie, loader, ou directement un ransomware
4. L’attaquant prend le contrôle, exfiltre des données ou lance le chiffrement

C’est pour cette raison que les campagnes Emotet étaient si efficaces : des emails de phishing réalistes (souvent des réponses à de vrais échanges email interceptés) avec des documents Word piégés. L’utilisateur ouvrait le document, activait la macro, et Emotet s’installait silencieusement avant de télécharger un ransomware.

Bloquer le phishing, c’est bloquer le principal canal de distribution des malwares. Les solutions techniques (filtrage email, SPF/DKIM/DMARC, sandboxing) combinées à la sensibilisation des employés (simulations régulières, formation au repérage des signaux d’alerte) réduisent la surface d’exposition de manière significative.

Pour les PME qui n’ont pas d’équipe sécurité dédiée, la priorité est claire : sécurisez votre email d’abord. C’est là que commence la grande majorité des infections.

Testez la sécurité email de votre domaine avec notre vérificateur gratuit — résultat en 30 secondes.