Se connecter S’abonner
Cybersécurité

Les malwares et leur évolution : du visible au furtif

L’évolution des virus informatiques : des premiers virus visibles aux malwares furtifs modernes (ransomwares, chevaux de Troie, spyware). Analyse d’expert sur leurs techniques, motivations et impacts sur la cybersécurité.

Tom

10 min read
Illustration : Types de virus et leur évolution.
“On ne combat pas ce que l’on ne comprend pas.”
Comprendre la diversité et l’évolution des malwares est essentiel pour concevoir des défenses efficaces et anticiper les menaces à venir.

Introduction : définitions et contexte

Le terme virus informatique est souvent utilisé dans le grand public pour désigner tout logiciel malveillant (malware). Mais dans la communauté de la cybersécurité, on distingue plusieurs catégories (virus, vers, chevaux de Troie, ransomwares, rootkits, etc.), chacune avec ses caractéristiques opérationnelles.

Un malware est un logiciel conçu pour nuire, exploiter une vulnérabilité, espionner, compromettre ou prendre le contrôle de systèmes informatiques, souvent à l’insu de l’utilisateur ou de l’administrateur.

Les raisons derrière la prolifération de ces malwares sont multiples :

  • Le gain financier (ransomwares, extorsion, vol de données monnayables).
  • L’espionnage (étatique, corporatif, industriel) : vol de propriété intellectuelle, renseignement.
  • La disruption ou sabotage (cyberguerre, hacktivisme).
  • Le prestige ou la “preuve de compétence” dans le milieu underground.
  • L’accès à des infrastructures compromises qu’on peut revendre (botnets, accès initial).

Avec l’évolution des architectures (cloud, IoT, télétravail), de nouveaux vecteurs émergent, poussant les auteurs de malwares à constamment innover.

1. Historique : des virus “bruyants” aux menaces furtives

1.1 Aux origines : virus & vers “visibles”

Les premiers malwares étaient souvent plus “bruyants” ou destructeurs, ils affichaient des messages, ralentissaient les machines, ou corrompaient visiblement des fichiers. Quelques jalons :

  • Creeper (1971) : souvent cité comme l’un des premiers programmes “auto-réplicants” sur ARPANET, mais plus expérimental qu’un acte malveillant.
  • Elk Cloner (1982) : virus sur disquettes Apple II qui affichait un message.
  • Morris Worm (1988) : conçu par Robert Tappan Morris pour “évaluer la taille du réseau”, mais à cause d’un bug, il s’est propagé massivement, provoquant des ralentissements nets sur Internet.
  • Dans les années 1990 et début 2000, les virus comme « ILOVEYOU », les vers de messagerie (Blaster, Sasser) ou « Nimda » avaient un impact visible et immédiat, rendant les machines instables, détruisant des fichiers, etc.

Ces malwares “bruyants” avaient souvent des signatures statiques simples exploitables par les antivirus traditionnels.

1.2 La transition vers la furtivité et l’espionnage

Au fil du temps, les stratégies d’attaque ont évolué :

  • On est passé d’une approche “d’attaque massive visible” à des attaques ciblées, furtives, lentes, visant à rester longtemps dans les systèmes (persistantes).
  • L’objectif n’est plus seulement de “faire du dégât”, mais de voler, espionner, exfiltrer de la donnée sans se faire détecter.
  • L’usage de rootkits, bootkits, keyloggers, trojans, backdoors, fileless malware (qui s’appuient sur la mémoire et non sur le disque) est devenu courant.
  • Les ransomwares modernes combinent souvent double extorsion : chiffrer les données et menacer de les publier si la rançon n’est pas payée.
  • Le modèle Ransomware-as-a-Service (RaaS) favorise la banalisation du ransomware : des acteurs moins techniques peuvent acheter ou louer des outils clés en main. (IBM)
  • L’essor du cloud, des APIs, des infrastructures “serverless” et des environnements virtualisés complique la détection traditionnelle.
  • L’adversaire moderne tente souvent une “attaque silencieuse” : infiltration, mouvement latéral, collecte d’identifiants, vol de données, puis déclenchement de la charge utile au moment opportun.

Cette évolution explique pourquoi on parle aujourd’hui davantage de menaces persistantes avancées (APT) ou de malwares furtifs, par opposition aux virus “bruyants” du passé.

2. Types de malwares : classification et caractéristiques

Voici une vue organisée des principales familles de malwares, avec leurs particularités, usages fréquents et exemples.

Type / famille Objectif principal Caractéristiques clés Exemple(s) notable(s)
Virus (au sens strict) Infecter des fichiers exécutables pour se propager lors de leur exécution Besoin d’un “hôte”, propagation par exécution Moins fréquent aujourd’hui
Ver (Worm) Propagation autonome via le réseau Ne dépend pas d’un hôte ; exploitation de vulnérabilités réseau Blaster, WannaCry (composant “worm”)
Cheval de Troie (Trojan) camouflage ; fournir un accès ou fonction secondaire Déguisé en logiciel légitime ; souvent vecteur de backdoor, keylogger, espionnage Trojan banking, RAT (Remote Access Trojan) (Fortinet)
Ransomware / crypto-ransomware Chiffrement des données + demande de rançon Chiffrement fort ; exfiltration souvent associée LockBit, Clop, Akira (Wikipédia)
Rootkit / bootkit Cacher la présence d’un malware au plus bas niveau Intégration dans le noyau, le bootloader -
Spyware / keylogger / adware Espionnage des activités (saisie clavier, navigation, données personnelles) Enregistrement discret, exfiltration Logiciels de surveillance
Botnet / bots Regrouper des machines compromises pour exécuter des commandes (DDoS, spam, etc.) Command & Control (C&C) Mirai (IoT), Emotet (initialement)
Fileless malware / mémoire vivante Exécuter le code uniquement en mémoire, sans traces persistantes Difficulté de détection via fichiers sur disque Attaques PowerShell, exploitation de fonctions OS
Malwares IoT / Embedded / Firmware Cibler les objets connectés ou firmware Peu de protections, faible surveillance Mirai, malwares sur routeurs, caméras

2.1 Focus : les trojans et leurs variantes

Les trojans (chevaux de Troie) sont parmi les plus populaires actuellement car extrêmement flexibles. Selon Fortinet :

“A Trojan horse virus … se cache dans un logiciel légitime” (Fortinet)

Quelques variantes :

  • Backdoor Trojan : ouvre une porte d’accès pour l’attaquant dans le système compromis.
  • Trojan bancaire : cible les données financières (enregistre le clavier, injecte dans le navigateur).
  • Downloader / Dropper : installe d'autres malwares (charge utile) après l’infection initiale.
  • Trojan de support / Remote Access Trojan (RAT) : contrôle à distance de la machine infectée.
  • Trojan d’exfiltration de données : collecte des fichiers sensibles et les envoie à l’attaquant.
  • Trojan de type “Fake application” : l’utilisateur croit installer un logiciel légitime, en réalité il installe un malware.

Les trojans sont devenus un vecteur majeur dans les attaques ciblées, parce qu’ils permettent de masquer l’intention réelle et d’extraire des données avant même de déclencher des effets visibles.

2.2 Le ransomware – une menace “de rente”

Le ransomware est devenu la star (noire) de la cybercriminalité moderne.

  • En 2023, selon Statista, environ 7 attaques sur 10 étaient du ransomware. (Fortinet)
  • En 2023, les paiements vers les acteurs du ransomware ont atteint 1,1 milliard de dollars, en forte hausse par rapport à 2022. (The Guardian)
  • En 2024, BrightDefense note que 42 % de ces attaques commencent par exploitation de vulnérabilité, 23 % par courriel malveillant, 18 % par vol de credentials. (Bright Defense)
  • Le métier du ransomware s’est “industrialisé” : on trouve le modèle Ransomware-as-a-Service (RaaS), où des affiliés utilisent le logiciel de l’opérateur principal. (IBM)
  • De plus en plus, les ransomwares combinent exfiltration + chiffrement + menace de publication (double extorsion).
  • Certains groupes comme LockBit sont responsables d’une proportion très élevée des attaques mondiales (jusqu’à 44 % en 2022 selon certaines estimations). (Wikipédia)
  • Le groupe Clop (Cl0p) a innové avec des tactiques d’extorsion sans chiffrement (menace de fuite de données sans nécessairement chiffrer) pour réduire la complexité technique et contourner certaines défenses. (Wikipédia)
  • Le ransomware Akira, actif depuis 2023, représente un cas intéressant de double extorsion ciblée, touche aussi bien Windows que Linux, et génère des profits élevés pour ses opérateurs. (Wikipédia)

3. Tendances modernes & évolutions émergentes

3.1 La “furtivité” comme ligne directrice

L’élément central des menaces contemporaines est la furtivité :

  • Les malwares fileless (qui n’écrivent rien sur le disque) rendent difficile la détection par antivirus classiques.
  • L’attaque en mémoire, l’abus de PowerShell, WMI, ou d'autres fonctions natives du système sont de plus en plus exploitées.
  • L’usage de techniques anti-analyse : chiffrer le code, le décompresser à l’exécution, utiliser des polymorphismes ou des packers.
  • Les “living-off-the-land” attacks (utiliser les outils légitimes du système pour exécuter les actions malveillantes) font partie des scénarios courants.
  • Le malware cherche à rester dormant, collecter, établir un accès, puis agir au moment opportun (exfiltration ou chiffrement).

3.2 L’hybridation : multipôles fonctionnels

De plus en plus, les malwares n’ont pas une seule fonction. On voit :

  • Des trojans qui combinent keylogging, capture d’écran, exfiltration, contrôle distant.
  • Des ransomwares qui incluent des voleurs de données (data stealers) et des fonctions de publication menace si la rançon n’est pas payée.
  • Des “super malwares” multifonctions (un peu “couteaux suisses”) qui peuvent évoluer selon le contexte de l’attaque. Par exemple, le malware Android Hook v3 adopte un large éventail de capacités (ransomware, keylogging, capture d’écran, DDoS). (TechRadar)
  • L’intelligence artificielle et le machine learning commencent à être incorporés dans les menaces : certains ransomwares “AI-powered” utilisent des scripts générés dynamiquement pour contourner les défenses heuristiques. (Tom's Hardware)

3.3 Ciblage, personnalisation et “big game hunting”

  • Le modèle généraliste de propagation massive (spams, pièces jointes) cède de plus en plus la place à des campagnes ciblées : entreprises, institutions critiques, infrastructures.
  • Le “big game hunting” consiste à viser des cibles à forte valeur ajoutée (grandes organisations disposant de gros budgets de rançon). (The Guardian)
  • On observe une montée des attaques multi-étapes (phase d’infiltration silencieuse, évaluation, exfiltration, déclenchement).
  • L’extorsion (menace de publication) est un levier de pression très puissant dans les négociations.
  • Les groupes de ransomware deviennent des organisations très structurées, presque des “entreprises criminelles”.

3.4 Intensification via les infrastructures et l’innovation

  • L’essor du RaaS démocratise l’accès aux outils de ransomware.
  • L’attaque des chaînes de valeur (fournisseurs, prestataires) comme point d’entrée pour des cibles finales.
  • L’exploitation des failles zero-day dans les infrastructures cloud, containers, Kubernetes, API.
  • L’attaque des IoT / systèmes embarqués / firmware, qui offrent des surfaces d’attaque encore peu protégées.
  • L’introduction de techniques “adversarial ML” : malwares conçus pour tromper les modèles de détection basés sur l’apprentissage automatique.
  • Le rôle croissant du cloud computing dans l’attaque (par exemple, les agents dans le cloud, l’exploitation des permissions IAM mal configurées, etc.).
  • Le futur verra probablement des malwares autonomes (IA embarquée) capables d’adapter leur comportement à l’environnement, d’effectuer des reconnaissances, etc.

4. Pourquoi les hackers font ça : motivations & profils

4.1 Motivations principales

Motivation Description Exemples / implications
Profit financier C’est le moteur principal du ransomware, du vol de données, de l’extorsion. Paiements en cryptomonnaie, marchés noirs de données
Espionnage / renseignement Vol d’information stratégique, propriété intellectuelle, secrets industriels. Espionnage d’entreprises, actions étatiques
Sabotage / cyberguerre Disruption d’infrastructures critiques (énergie, télécoms, hôpitaux). Attaques étatiques ou parrainées
Reconnaissance / formation Tester les défenses, se propager latéralement, retenir l’accès pour usages futurs. APT persistantes
Prestige / ego / slogan Certaines attaques sont faites pour la reconnaissance dans le milieu hacker/hacktiviste. Affichage sur des forums clandestins

4.2 Qui sont-ils ? Profils et modèles organisationnels

Les acteurs sont divers :

  • Cybercriminels “mercenaires” : opèrent pour l’argent.
  • Groupes ransomware (gangs organisés) : structure hiérarchisée, affiliés, opérateurs.
  • Nation-states / APTs : opèrent au nom d’un État pour espionner, saboter (souvent très sophistiqués, patience et furtivité).
  • Hacktivistes / groupes idéologiques : motivation politique ou sociétale.
  • Insiders / menaces internes : employés malveillants, avec accès privilégié.
  • Script kiddies & amateurs : opportunistes, utilisent des outils existants sans comprendre tout le fonctionnement.

Une recherche de S. Chng (2022) présente un cadre structuré : environ 13 types de hackers et 7 motivations possibles selon leurs stratégies. (ScienceDirect)

Les gangs de ransomware sont aujourd’hui très structurés :

  • Certains sont exclusivement opérateurs, d’autres sont plateforme RaaS (fournisseurs de l’outil) et accueillent des affiliés.
  • Ils distribuent les revenus, gèrent les négociations, les fuites de données, les infrastructures C2.
  • Ils opèrent souvent depuis des pays où la coopération judiciaire internationale est faible ou compliquée.

5. Exemples & études de cas

5.1 Avaddon : cas d’étude d’un ransomware “affilié”

Une analyse détaillée d’Avaddon montre comment ce ransomware a opéré :

  • Il fonctionnait via un modèle d’affiliation (des tiers lançaient l’attaque, l’opérateur fournissait le logiciel). (arXiv)
  • Il incluait des mécanismes de fuite de données, extorsion via DDoS si la rançon n’était pas payée. (arXiv)
  • Le projet de décryptage a été étudié pour certaines infections, mais le succès reste limité. (arXiv)

5.2 LockBit : l’un des géants du ransomware

  • LockBit est fréquemment cité comme responsable de 44 % des incidents mondiaux en 2022 selon certaines sources. (Wikipédia)
  • Il opère en mode RaaS : les affiliés utilisent ses outils. (Wikipédia)
  • En 2024-2025, LockBit a été partiellement démantelé par les autorités, mais de nouvelles versions (LockBit 4.0 / LockBit-NG) étaient en préparation. (Wikipédia)

5.3 Akira : un acteur moderne

  • Actif depuis 2023, cible à la fois Windows et Linux, avec des campagnes d’exfiltration + chiffrement. (Wikipédia)
  • A généré près de 42 millions USD en quelques mois. (Wikipédia)
  • Son usage de techniques modernes (Rust, chiffrement combiné ChaCha20 + RSA-4096) illustre le niveau technique croissant. (Wikipédia)

6. Défenses et défis techniques

6.1 Limites des défenses traditionnelles

  • Les antivirus classiques basés sur des signatures statiques sont dépassés face aux malwares polymorphes et fileless.
  • Les attaques furtives, dormant, ou injectant dans des processus légitimes, échappent souvent aux contrôles simples.
  • La complexité des environnements modernes (cloud, microservices, conteneurs, IoT) rend les frontières de sécurité floues.
  • Les défenses manquent souvent de visibilité en profondeur (niveau kernel, mémoire, comportement).

6.2 Approches modernes de détection & mitigation

  • Détection comportementale / heuristique : surveiller les anomalies (modifications de fichiers, comportement de processus, exfiltration).
  • Détection basée sur kernel / événements bas niveau : comme l’outil « Peeler » qui corrèle des événements kernel pour identifier les ransomwares rapidement. (arXiv)
  • Machine Learning / IA : classer et détecter des comportements suspects, généraliser à des variantes inconnues. Plusieurs recherches montrent l’efficacité de ces approches sur les ransomwares. (arXiv)
  • Sandboxing dynamique / analyse en bac à sable : exécuter un programme suspect dans un environnement isolé pour observer son comportement.
  • Stratégies de défense en profondeur : segmentation du réseau, privilèges minimaux, durcissement des systèmes, patching régulier.
  • Préparation à l’incident et résilience : sauvegardes hors ligne, plans de réponse, isolation rapide de segments compromis.
  • Threat Intelligence et hunting proactif : surveiller les indicateurs de compromission (IoC), analyser les menaces émergentes.
  • Organisation et sensibilisation humaine : la plupart des incidents débutent par une action humaine (phishing, clic), donc la formation est capitale.

6.3 Bonnes pratiques clés

  1. Principe du moindre privilège : limiter les droits d’accès aux systèmes et aux données.
  2. Patching régulier : corriger les vulnérabilités avant qu’elles ne soient exploitées.
  3. Segmenter les environnements : limiter les déplacements latéraux.
  4. Surveillance continue : logs, alertes, corrélation d’événements.
  5. Sauvegardes fiables et testées : hors-ligne, immuables si possible.
  6. Plan de réponse aux incidents : simuler, documenter, exécuter.
  7. Mises à jour des défenses : intégrer ML, EDR (Endpoint Detection and Response), outils de détection avancée.

7. Perspectives & défis futurs

  • La montée des malwares pilotés par IA pourrait rendre les attaques encore plus adaptatives, capables d’automatiser la reconnaissance et l’évitement. (Tom's Hardware)
  • Le cloud-native malware (exploitant les failles des containers, des services serverless, des API) deviendra plus fréquent.
  • L’IoT massif, les infrastructures critiques (5G, smart grids) représentent des cibles vulnérables.
  • L’emploi de technologies adversariales pour tromper les modèles de détection ML.
  • L’enjeu juridique et international : la coopération transnationale, la traque des opérateurs dans des juridictions “refuges”.
  • Le défi de la rapidité vs prévention : les victimes doivent réagir plus vite que l’attaquant.
  • Enfin, l’évolution des architectures (confidential computing, hardware roots-of-trust) offrira potentiellement des protections plus robustes.

Conclusion

Les “virus” d’autrefois, bruyants et destructeurs, ont laissé place à une panoplie de malwares furtifs, évolutifs et sophistiqués. Le paysage des menaces est aujourd’hui caractérisé par l’adaptabilité, la furtivité, la monétisation, et la sophistication technique.

Comprendre les différentes familles (trojans, ransomwares, fileless malware, rootkits, etc.), diagnostiquer leur fonctionnement, anticiper leurs tactiques, et bâtir une défense en profondeur sont des compétences essentielles pour tout professionnel de la cybersécurité.

Le défi principal réside dans la capacité d’un système à détecter l’inconnu et l’imprévisible, c’est ici que les approches comportementales, les technologies avancées (IA/ML), et la posture proactive prennent tout leur sens.