Pourquoi connaître les types de malwares change la défense ?
Tous les malwares ne s’attrapent pas, ne se propagent pas et ne se nettoient pas de la même manière. Un trojan bancaire vise vos identifiants Wave/banque ; un ransomware cherche à chiffrer vos données ; un spyware veut rester invisible des mois. Les comprendre permet de prioriser sa défense : pour un cabinet comptable, le ransomware est la priorité absolue ; pour un journaliste, c’est le spyware. Cet article cartographie les 8 familles principales et indique pour chacune le bon réflexe.
Malwares : connaître l’ennemi pour mieux se défendre
Un malware (logiciel malveillant) est tout programme conçu pour endommager, exploiter ou compromettre un système informatique. Comprendre les différents types de malwares est la première étape pour s’en protéger.
Les 8 types de malwares
| Type | Fonctionnement | Exemple célèbre |
|---|---|---|
| Virus | S’attache à un fichier, se propage quand on l’exécute | ILOVEYOU |
| Ver (Worm) | Se propage seul via le réseau sans action humaine | WannaCry |
| Ransomware | Chiffre vos fichiers, exige une rançon | REvil, LockBit |
| Trojan (Cheval de Troie) | Se déguise en logiciel légitime | Emotet |
| Spyware | Espionne votre activité (frappes clavier, écran) | Pegasus |
| Adware | Affiche des publicités non désirées | Fireball |
| Rootkit | Se cache profondément dans le système | ZeroAccess |
| Keylogger | Enregistre tout ce que vous tapez | Agent Tesla |
Comment les malwares infectent votre système
Vecteurs d’infection
- Email : pièces jointes (.exe, .docm, .js) ou liens malveillants
- Téléchargements : logiciels piratés, torrents, sites non fiables
- USB : clés USB infectées (très courant en Afrique)
- Sites web : drive-by download, publicités malveillantes
- Vulnérabilités : systèmes et logiciels non mis à jour
Focus : le ransomware — la menace N°1
Comment fonctionne une attaque ransomware
- Infection via email de phishing ou vulnérabilité
- Le malware se propage silencieusement dans le réseau
- Chiffrement de tous les fichiers accessibles
- Affichage d’une demande de rançon (souvent en Bitcoin)
- Menace de publication des données (double extorsion)
Comment se protéger
- Sauvegardes 3-2-1 : 3 copies, 2 supports, 1 hors site
- Sauvegardes déconnectées (le ransomware chiffre aussi les sauvegardes réseau)
- Mises à jour systématiques
- Formation des employés au phishing
- Segmentation du réseau
Protection : les couches de défense
1. Antivirus / EDR
- Windows Defender (gratuit, déjà intégré, suffisant pour beaucoup)
- Malwarebytes (version gratuite pour scan occasionnel)
- Pour les entreprises : CrowdStrike, SentinelOne (EDR avancé)
2. Mises à jour automatiques
- Activez Windows Update automatique
- Mettez à jour navigateurs, plugins, applications
- Les malwares exploitent les failles connues et corrigées
3. Principes de navigation sécurisée
- Ne téléchargez que depuis les sites officiels
- Méfiez-vous des logiciels « gratuits » et « crackés »
- Utilisez un bloqueur de pub (uBlock Origin)
- Vérifiez les extensions de fichiers avant d’ouvrir
Erreurs fréquentes (malwares)
1. Logiciels craqués pour Office, Photoshop, Sage
Cause : au Sénégal, beaucoup de PME utilisent des cracks pour éviter les licences. Le crack EST souvent le malware (trojan ou backdoor) — installé volontairement avec privilèges admin.
Solution : alternatives gratuites légales : LibreOffice (vs Office), GIMP (vs Photoshop), OnlyOffice, Google Workspace gratuit. Le coût d’une licence est toujours inférieur au coût d’une attaque.
2. Ouvrir une pièce jointe Word/Excel et activer les macros
Cause : le document légitime apparent demande d’« activer les macros pour voir le contenu ». La macro VBA télécharge alors Emotet, Qakbot ou un loader qui installe le ransomware.
Solution : Microsoft a désactivé par défaut les macros venant d’Internet depuis 2022. Vérifiez : Word/Excel > Options > Centre de gestion de la confidentialité > « Bloquer les macros venant d’Internet ». Et n’activez JAMAIS sur demande d’un email externe.
3. Brancher une clé USB trouvée
Cause : on trouve une clé USB dans le parking ou la salle d’attente. La curiosité pousse à la brancher pour voir ce qu’elle contient. C’est baiting : la clé contient un malware autostart.
Solution : JAMAIS brancher une clé inconnue sur un PC pro. Si curiosité absolue, branchez sur un PC isolé sans réseau, en mode sans échec, avec autorun désactivé. Ou détruisez-la.
4. Confiance aveugle dans « c’est juste un PDF »
Cause : les PDF peuvent contenir du JavaScript exploitant des CVE Adobe Reader (régulières). Un PDF reçu d’un inconnu peut compromettre votre PC dès l’ouverture.
Solution : ouvrez les PDF inconnus dans Google Drive (rendu côté serveur sans risque local) ou via Chrome (sandboxé, plus sûr qu’Adobe Reader). Et maintenez Adobe Reader à jour.
5. Penser « antivirus actif = je suis protégé »
Cause : on installe Avast Free, on coche la case, et on télécharge n’importe quoi. Or les antivirus signature-based ratent les malwares zero-day (jamais vus) et les variantes packers.
Solution : défense en profondeur : antivirus + mises à jour OS + restrictions admin + EDR (Microsoft Defender Endpoint, gratuit avec M365 Business) + formation utilisateur. L’antivirus n’est qu’une couche.
Que faire si vous êtes infecté
- Déconnectez l’appareil du réseau immédiatement
- Ne payez pas la rançon (pas de garantie de récupération)
- Scannez avec Malwarebytes en mode sans échec
- Identifiez le ransomware sur nomoreransom.org (déchiffreurs gratuits disponibles)
- Restaurez depuis vos sauvegardes
- Changez tous les mots de passe
- Signalez l’incident aux autorités
Sur le même thème
- Installer et configurer un antivirus efficacement — protection n°1.
- Protéger votre entreprise contre les ransomwares — focus sur le malware le plus destructeur.
- Détecter si votre téléphone est surveillé — spywares mobiles.
- Reconnaître un email de phishing — vecteur n°1 d’infection.
- Référence : MITRE ATT&CK et Malwarebytes Labs.
- Outils gratuits : VirusTotal (analyse fichier), No More Ransom (décrypteurs).
Hostinger pour vos premiers déploiements
Le panel hPanel reste l’un des plus accessibles du marché pour les débutants en self-hosting.
Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.
Etape 1 : connaitre les grandes familles de malwares actuelles
Le terme malware regroupe toutes les categories de logiciels malveillants. En 2026, six familles dominent les incidents reels en Afrique francophone : virus classiques, vers, chevaux de Troie, rancongiciels, logiciels espions et cryptojackers. Chaque famille a un mode operatoire et un objectif different, ce qui dicte la strategie de defense.
Famille | Objectif principal | Vecteur typique
-----------------|---------------------------|---------------------
Virus | Detruire / corrompre | Fichier executable
Ver | Propagation reseau | Faille reseau
Cheval de Troie | Backdoor cachee | Logiciel pirate
Rancongiciel | Chiffrer + extorsion | Piece jointe email
Logiciel espion | Voler donnees | Extension navigateur
Cryptojacker | Miner de la crypto | Site web compromisCette taxonomie evite la confusion : un antivirus pense pour les virus classiques peut passer a cote d’un cryptojacker JavaScript qui s’execute uniquement dans le navigateur. La protection doit etre stratifiee selon les vecteurs.
Etape 2 : reconnaitre les signes precoces d’infection
Avant les degats irreversibles, un PC infecte donne des signaux : ralentissement soudain, ventilateur qui tourne en continu sans raison, pop-ups inhabituelles, redirection du navigateur vers des sites inconnus, fichiers qui changent d’extension (.lockbit, .crypt), connexions reseau sortantes vers des IP exotiques.
# Verifier les processus consommant le CPU sous Windows
Get-Process | Sort-Object CPU -Descending | Select-Object -First 10
# Sous Linux
top -b -n 1 | head -20
# Lister les connexions reseau actives
netstat -ano # Windows
ss -tunap # LinuxSur la sortie netstat ou ss, on cherche les connexions etablies vers des IP non identifiees, surtout sur des ports inhabituels (4444, 8080, 8888 sont historiquement associes a des C2). Une IP suspecte se verifie sur abuseipdb.com ou virustotal.com.
Etape 3 : installer un antivirus moderne EDR plutot qu’un antivirus signature
Les antivirus a signatures classiques (detection par empreinte) sont depasses. Les variantes de malwares se generent automatiquement et echappent aux signatures en quelques heures. La parade : un EDR (Endpoint Detection and Response) qui analyse le comportement. Pour une PME, Bitdefender GravityZone, Sophos Intercept X ou Microsoft Defender for Endpoint offrent un bon rapport qualite-prix.
Pour un poste personnel, Microsoft Defender intégré à Windows 11 reste tres correct s’il est complete par une bonne hygiene de navigation. On evite absolument les antivirus gratuits inconnus telecharges sur des sites douteux : ils sont souvent eux-memes des malwares.
Etape 4 : durcir Windows ou Linux avec quelques reglages cles
Sous Windows 11, on active la protection contre les rancongiciels (Acces controle aux dossiers), on desactive les macros Office par defaut, on installe les mises a jour automatiquement chaque semaine. Sous Linux, on configure les mises a jour automatiques de securite et on limite les sudo aux comptes administrateurs.
# Windows 11 : activer protection rancongiciel
Set-MpPreference -EnableControlledFolderAccess Enabled
# Verifier
Get-MpPreference | Select EnableControlledFolderAccess
# Linux Debian/Ubuntu : mises a jour auto securite
sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgradesLa sortie Get-MpPreference doit afficher Enabled. La protection bloquera toute application non autorisee qui tente d’ecrire dans Documents, Images, Bureau. Premier reflexe d’un rancongiciel : on coupe sa capacite d’action.
Etape 5 : sauvegarder hors ligne pour neutraliser les rancongiciels
Aucune defense n’est parfaite. La seule reponse efficace au rancongiciel est la sauvegarde hors ligne (air-gapped). Un disque externe USB qu’on debranche apres chaque sauvegarde, range hors du PC. Le malware ne peut pas chiffrer ce qu’il n’atteint pas.
# Script Windows : sauvegarde puis ejection
robocopy C:Documents D:Backup /MIR /R:2 /W:5 /LOG:D:ackup.log
powershell -Command "(New-Object -comObject Shell.Application).Namespace(17).ParseName('D:').InvokeVerb('Eject')"L’option /MIR maintient un miroir exact, /R:2 limite a 2 retries en cas d’echec. La commande PowerShell suivante ejecte proprement le disque pour le retirer physiquement. Cette discipline simple a sauve des centaines de PME en Afrique de l’Ouest face a des attaques type LockBit ou BlackCat.
Etape 6 : filtrer les emails et pieces jointes en amont
80% des infections demarrent par un email. Pour un compte Microsoft 365 ou Google Workspace, on active le filtrage avance : Microsoft Defender for Office 365 ou Google Advanced Protection. Pour un serveur mail interne, on installe Rspamd ou SpamAssassin avec ClamAV pour scanner les pieces jointes.
# Installation rapide ClamAV sur Debian
sudo apt install clamav clamav-daemon
sudo freshclam # Met a jour les signatures
sudo systemctl enable clamav-daemon
# Test sur un fichier
clamscan suspicious.exeLa sortie clamscan affiche FOUND ou OK. Combine avec un filtrage des extensions dangereuses (.exe, .scr, .bat, .vbs, .js dans une archive zip), ce dispositif arrete la majorite des attaques en porte d’entree, avant qu’elles n’arrivent sur le poste.
Etape 7 : segmenter le reseau pour limiter la propagation
Un malware qui infecte un seul PC est embetant. Un malware qui se propage a tout le reseau est un desastre. Pour une PME, on segmente le reseau : VLAN serveurs, VLAN bureautique, VLAN invites Wi-Fi, VLAN TPV. Une infection sur le Wi-Fi invite ne doit pas pouvoir toucher le serveur compta.
Sur un routeur MikroTik, Ubiquiti UniFi ou pfSense, la configuration des VLAN se fait en 30 minutes et change radicalement la posture de securite. On bloque par defaut les flux inter-VLAN et on autorise explicitement uniquement ce qui est necessaire (par exemple : bureautique vers serveur de fichiers sur port 445).
Etape 8 : former les utilisateurs et tester regulierement
La technique seule ne suffit pas. 90% des incidents impliquent une erreur humaine : clic sur une piece jointe, telechargement d’un crack, branchement d’une cle USB inconnue. Une session de sensibilisation de 30 minutes par trimestre, avec exemples reels d’attaques recentes en Afrique, change le comportement.
On organise aussi des tests de phishing simulés via des plateformes type GoPhish (open source, gratuit) ou KnowBe4. On envoie un faux email piege, on mesure le taux de clic, on debriefe sans humilier. Le taux de clic baisse de 30% a moins de 5% en 6 mois quand l’exercice est regulier. Sur le même thème, lisez notre guide sur les fondamentaux de la cybersecurite et notre fiche sur le plan de reprise apres sinistre informatique indispensable apres une infection majeure.
Etape 9 : preparer la reponse aux incidents avant qu’ils n’arrivent
Quand l’infection est confirmee, la rapidite et la methode comptent plus que la panique. On debranche immediatement la machine du reseau (cable Ethernet ou Wi-Fi coupe), sans l’eteindre pour preserver les preuves en memoire vive utiles a l’analyse forensic. On notifie le DSI ou le prestataire securite avec le numero affiche en clair sur le poste de travail. On documente l’heure exacte de detection, les symptomes observes, les actions entreprises. Si une fuite de donnees personnelles est suspectee, la notification a l’autorite de protection des donnees locale est generalement obligatoire sous 72 h selon les legislations en vigueur dans plusieurs pays d’Afrique francophone qui ont aligne leur cadre sur le modele europeen. Le post-mortem detaille a 7 jours est le moment ou l’on identifie la racine de l’incident et les actions correctives durables.