Catégories de logiciels malveillants : les principaux types de malwares et comment ils menacent vraiment vos systèmes
Les catégories de logiciels malveillants ne se limitent pas à une liste figée. Chaque famille a son mode opératoire, ses cibles favorites et ses conséquences bien concrètes. Dans la pratique, on voit encore aujourd’hui des virus classiques côtoyer des techniques ultra-modernes qui n’écrivent presque rien sur le disque. Le point c’est que comprendre ces différences change vraiment la façon dont on se protège.
Un logiciel malveillant, ou malware, c’est simplement un programme écrit dans le but de perturber, voler, espionner ou extorquer. Il arrive souvent via un mail phishing, un site piégé, une clé USB ou une faille non corrigée. Une fois dedans, il peut rester discret des mois ou frapper fort tout de suite. Et franchement, les frontières entre les catégories s’effacent un peu plus chaque année.
Les virus informatiques : les premiers à avoir marqué l’histoire
Un virus a besoin d’un fichier hôte pour se multiplier. Il s’accroche à un document, un exécutable ou une macro, puis se copie quand l’utilisateur ouvre le fichier. Les exemples historiques comme Melissa ou ILOVEYOU ont fait des ravages parce qu’ils exploitaient l’ouverture automatique des pièces jointes. Aujourd’hui ils sont moins dominants, les antivirus les repèrent plus facilement, mais ils existent toujours et peuvent servir de tremplin à des charges plus lourdes.
Le truc avec les virus, c’est qu’ils ont besoin d’une action humaine pour se répandre vraiment. Du coup ils sont souvent combinés à d’autres techniques plus autonomes.
Les vers informatiques : propagation autonome et rapide
Un ver, lui, n’a pas besoin de fichier hôte. Il exploite directement les failles du réseau ou des systèmes d’exploitation pour se copier tout seul. WannaCry en 2017 reste l’exemple le plus parlant : il a paralysé des hôpitaux et des entreprises dans plus de 150 pays en quelques jours en utilisant une faille Windows non patchée. Il pouvait même se transformer en rançongiciel une fois installé.
Ces vers consomment de la bande passante, ralentissent les réseaux et ouvrent souvent des portes dérobées pour d’autres malwares. C’est pour ça que la mise à jour des systèmes reste non négociable.
Les chevaux de Troie : le déguisement parfait
Le cheval de Troie se présente comme un logiciel légitime – un jeu, un utilitaire, un patch – et une fois exécuté il ouvre la porte. Il peut voler des identifiants, désactiver l’antivirus, installer d’autres charges ou donner un accès distant complet. Emotet a longtemps été l’un des plus prolifiques : il servait de loader pour d’autres malwares et coûtait parfois plus d’un million de dollars par incident aux entreprises touchées.
D’après les statistiques récentes, les chevaux de Troie représentent autour de 58 % des détections de malwares. C’est énorme. Et ils arrivent majoritairement par mail (94 % des malwares passent par ce canal selon plusieurs analyses).
Les rançongiciels : du chiffrement à l’extorsion pure
Le rançongiciel chiffre les fichiers ou verrouille l’accès et demande une rançon. Ryuk ou les variantes plus récentes ont montré que même les grosses organisations pouvaient payer des millions. Mais le paysage a changé. En 2025, la part des rançons effectivement payées est tombée autour de 28 %. Du coup les attaquants s’adaptent : de plus en plus d’incidents se contentent de voler les données et de menacer de les publier sur des sites de leaks. Pas de chiffrement, juste la pression réputationnelle et réglementaire.
Le secteur manufacturier a par exemple subi des pertes estimées à plus de 18 milliards de dollars sur les trois premiers trimestres de 2025 rien qu’avec ces attaques. Et l’ANSSI note dans son panorama 2025 une baisse relative des rançongiciels classiques au profit de l’exfiltration de données seule.
Les logiciels espions et enregistreurs de frappe
Le spyware surveille discrètement : historique de navigation, identifiants, captures d’écran, enregistrements audio parfois. Les keyloggers, eux, capturent tout ce qui est tapé au clavier. Ils servent au vol d’identifiants bancaires, à l’espionnage industriel ou à la fraude aux virements. DarkHotel ou certains outils vendus sur le dark web montrent que ces familles restent actives, surtout sur les réseaux Wi-Fi publics ou via des applications compromises.
Le risque ? Les données volées partent directement sur le marché noir ou servent à des campagnes de phishing ultra-ciblées.
Les adwares et le malvertising
L’adware affiche des pubs intrusives, modifie la page d’accueil du navigateur et ralentit la machine. Il peut aussi servir de passerelle pour installer des malwares plus sérieux. Le malvertising pousse le concept plus loin : il injecte du code malveillant dans des publicités diffusées sur des sites légitimes. Fireball avait ainsi touché des centaines de millions d’appareils en son temps.
Ces catégories rapportent de l’argent aux attaquants via les clics ou les données de navigation revendues. Elles ne sont pas toujours « destructrices », mais elles exposent l’utilisateur à des risques supplémentaires.
Les botnets : des armées de machines zombies
Un botnet regroupe des milliers, parfois des millions d’appareils infectés contrôlés à distance. Ils servent à des attaques DDoS massives, à l’envoi de spam, au minage de cryptomonnaies ou au vol de données à grande échelle. Mirai et ses variantes ont montré à quel point les objets connectés mal sécurisés pouvaient grossir ces réseaux très vite.
Une machine compromise dans un botnet peut rester active des mois sans que l’utilisateur s’en rende compte, tout en participant à des attaques contre d’autres cibles.
Les techniques modernes : malwares sans fichier, rootkits et cryptojacking
C’est là que les choses deviennent plus compliquées. Les malwares sans fichier n’écrivent presque rien sur le disque. Ils opèrent en mémoire vive en détournant des outils légitimes comme PowerShell ou WMI. Résultat : les antivirus classiques qui cherchent des fichiers suspects les ratent souvent. Des familles comme Astaroth ou Lemon Duck ont illustré cette approche.
Les rootkits vont encore plus loin en s’installant au niveau du noyau ou du firmware pour masquer leur présence et celle d’autres malwares. Ils peuvent rester invisibles pendant des années.
Le cryptojacking, lui, détourne la puissance de calcul pour miner des cryptomonnaies à l’insu de la victime. La machine ralentit, chauffe, la facture d’électricité grimpe. Et là aussi, les variantes fileless se multiplient parce qu’elles sont plus difficiles à détecter.
D’ailleurs, des études récentes estiment que plus de 70 % des attaques malware récentes n’impliquent plus de fichiers traditionnels sur le disque. Et 76 % des malwares détectés montrent des caractéristiques polymorphes aidées par l’IA pour échapper aux signatures.
Comment se protéger concrètement contre toutes ces catégories de logiciels malveillants
Aucune solution magique n’existe, mais certaines pratiques changent vraiment la donne :
Mettre à jour tout ce qui peut l’être, sans exception. Les vers et les exploits de vulnérabilités adorent les systèmes obsolètes.
Utiliser une solution EDR ou XDR plutôt qu’un simple antivirus. La détection comportementale et l’analyse en mémoire sont devenues indispensables face aux techniques sans fichier.
Faire des sauvegardes régulières, immuables et testées. Idéalement hors ligne ou dans un environnement isolé. C’est la seule vraie parade quand un rançongiciel ou une exfiltration massive frappe.
Appliquer le principe du moindre privilège et segmenter les réseaux. Un compte admin partout ou un réseau plat, c’est l’autoroute pour les vers et les mouvements latéraux.
Former les équipes. Le phishing reste le vecteur numéro un. Des simulations régulières aident plus que des affiches dans les couloirs.
Surveiller les comportements inhabituels : pics de consommation CPU inexpliqués, connexions réseau suspectes, modifications de registres ou de processus légitimes.
En France, les recommandations de l’ANSSI sur la détection des attaques « living off the land » et la sécurisation des accès distants valent vraiment le coup d’être lues et appliquées.
Au bout du compte, les catégories de logiciels malveillants évoluent vite, mais les fondamentaux de la défense restent les mêmes : visibilité, mises à jour, sauvegardes solides et vigilance humaine. Les attaquants s’adaptent en permanence – IA, extorsion data-centric, outils légitimes détournés – alors la réponse doit être tout aussi dynamique. Et c’est exactement pour ça qu’on continue d’en parler.
