Menaces informatiques en 2025 : Virus, Trojans, Backdoors, Adwares, Spywares et autres malwares

Les menaces informatiques évoluent constamment, et il est essentiel de comprendre les principaux types de malwares pour mieux protéger ses appareils et ses données. Derrière des termes comme virus, cheval de Troie, ransomware, adware ou spyware, se cachent des logiciels malveillants aux comportements très différents — certains chiffrent vos fichiers, d’autres volent vos identifiants, injectent de la publicité ou permettent un accès distant à votre machine.

À l’heure où les attaques deviennent plus sophistiquées et discrètes (fileless malware, ransomware-as-a-service, vol de données silencieux), connaître ces menaces est la première étape pour sécuriser efficacement son système.

Dans ce guide vous propose une vue d’ensemble claire et à jour des différentes catégories de menaces numériques en 2025. Pour chaque type de malware, vous trouverez :

• une définition simple et concise,
• des exemples concrets de menaces récentes,
• et des conseils de sécurité pour les identifier et s’en prémunir.

En parallèle, je vous conseille de consulter ce guide pour mieux appréhender les menaces informatiques : Liste des détections antivirus : exemples de malwares, trojans, PUP, adwares

Virus

Les virus désignent les logiciels malveillants capables d’infecter les exécutables (fichiers .exe, scr, pif ou .dll).
Ce dernier va insérer du code dans le fichier exécutable qui au moment de l’exécution va charger le logiciel malveillant en mémoire.
À partir de là, ce dernier devient actif et infecte à son tour tous les exécutables ouverts par la suite par l’utilisateur.
Les virus sont arrivés arrivés très tôt, dans les années 70 et se propageaient par disquette, puis par la suite par des fichiers mis en ligne sur internet.

Les derniers virus informatiques les plus importants ont été Sality, Virut et Ramnit.

De nos jours, le terme Virus se détourne de son origine pour englober la totalité des menaces informatiques et logiciels malveillants sans distinction.
En anglais, le terme pour désigner les logiciels malveillants dans leurs intégralités est malware.

Trojan ou Cheval de troie

Le Trojan ou Cheval de troie est un logiciel malveillant caché dans un logiciel présenté comme légitime.
Il s’agit d’un parallèle avec l’attaque de la ville de troie où les soldats se cachèrent à l’intérieur du cheval donné en cadeau à la ville.
Cela a permis de faire entrer les soldats et contourner les murailles pour prendre d’assaut cette dernière.

Dans le cas d’un trojan, l’utilisateur pense télécharger un fichier sain comme un setup ou un crack, au moment du lancement, le trojan s’installe sur l’ordinateur.
Ce dernier possède alors des fonctionnalités malveillantes comme la possibilité de contrôler l’ordinateur à distance, enregistrer les frappes claviers (keylogger), envoyer des mails de spams, etc.
En général, la plupart des trojans font joindre l’ordinateur dans un botnet (réseau d’ordinateur zombis) pour contrôler ces derniers.
Cela permet de sous-louer ces ordinateurs pour mener des attaques, des scans ou envoyer des mails de spams.

Comment fonctionne un trojan

Le fonctionnement d’un cheval de troie se compose :

1. un ou plusieurs fichier(s) qui se copie a un emplacement précis
2. un point de chargement de Windows pour charger le malware au démarrage de Windows.

L’article suivant détaille le fonctionnement d’un cheval de troie :

Seuls les Trojan FileLess et les trojans utilisant des injections de DLL fonctionnent différentes manière, pour ce dernier, se reporter à la page suivante :

Les sous-catégories des trojan

Il existe donc des sous-catégories de trojan, en voici les principales :

• Trojan.Dropper : Un dropper est conçu pour introduire discrètement d’autres malwares sur l’ordinateur, comme un ransomware ou un stealer. Il contient un ou plusieurs fichiers malveillants qu’il extrait et exécute après infection.
• Trojan.Downloader : Similaire au dropper, mais au lieu de contenir la charge utile, il va télécharger le malware depuis un serveur distant. Très utilisé pour installer des payloads à la demande.
• Trojan.Spy / Trojan Stealer / Infostealer : Ces trojans espionnent l’utilisateur : ils collectent des informations comme les mots de passe, les cookies, les données bancaires, les captures clavier ou écran.
• Trojan.Spambot : est capable d’envoyer des mails de spams.
• Trojan.PWS ou Trojan.Stealer : se spécialise dans le vol de mot de passe. Par exemple les mots de passe des navigateurs internet et peut avoir des fonctions de keylogger.
• Trojan.Proxy transforme l’ordinateur en proxy afin de vendre ce dernier pour permettre aux cybercriminels de se cacher. Exemple sur cette page : BackDoor.Proxybox : Votre PC transformé en proxy
• Trojan Patched : ce dernier modifie un fichier système de Windows pour y insérer son code afin de se rendre actif ensuite.

Les liens du site autour des trojan :

• Comment fonctionnent les trojans
• Les trojan RAT (Remote Access Tool)
• Trojan Banker : botnet spécialisé dans le vol de compte
• Les Trojan MSIL
• Les trojan bitcoin qui vise à faire miner l’ordinateur à l’insu de l’utilisateur pour générer des crypto-monnaies

Backdoor ou porte dérobée

Les backdoor qui signifient portes dérobées permettent de contrôler un ordinateur ou système.
Par le passé, l’ordinateur cible était tourné comme serveur, c’est-à-dire que la backdoor ouvrait un port et le pirate pouvait s’y connecter.
De nos jours, la plupart des trojan ont des fonctionnalités de Backdoor afin de pouvoir contrôler l’ordinateur.
La plupart fonctionnent en tant que client qui se connecte à un centre de contrôle (C&C : Command & Center) qui peut être un serveur WEB ou un serveur IRC (Backdoor.IRC).

À noter, backdoor vise aussi les sites internet afin d’en prendre le contrôle ou voler des données.
Par exemple les Shell PHP que qui font partie de la catégorie des backdoors PHP : Détecter des backdoors PHP parmi ses fichiers

Spywares, Trojan Stealer ou infostealer

Les Spywares sont des logiciels espions.
Comme leur nom l’indique, ces derniers permettent d’espionner un utilisateur, cela peut aller de fonctionnalités de keylogger, le vol de mot de passe, à l’activation et Piratage de Webcam de la webcam.
Au départ, dans les années 2000, les antivirus ne détectaient pas spywares et on devait utiliser des logiciels comme Spybot ou Ad-aware pour les supprimer.
De même, les antivirus ne détectaient pas les tracking cookies.
Cela a permis aux éditeurs d’antivirus de vendre des solutions sous le nom d’antispyware.
Mais, à partir de 2005, la distinction est devenue intenable dans le sens où la plupart des menaces informatiques et trojan intègre des fonctions espions.

Les sous-catégories de Spyware

On peut tout de même distinguer plusieurs types de Spywares :

• Password Stealer : malware qui vise à voler les mots de passe de l’ordinateur. Les mots de passe enregistrés dans le navigateur internet ou client FTP
• Banking Trojan : Trojan spécialisé dans le vol de compte bancaire ou capable de modifier les pages du site de la banque pour falsifier les transactions
• InfoStealer : Malware qui capable de voler toutes sortes d’informations connues dans l’ordinateur comme les noms d’utilisateur, mot de passe, adresse email, historique de surf, fichiers, logs, informations systèmes, documents ou autres médias
• Keylogger : enregistreur de frappes clavier, se reporter au paragraphe suivant

De nos jours, la catégorie ou distinction n’existe plus vraiment entre les spywares et trojan.

Keylogger

Les keylogger sont des enregistreurs de frappes clavier qui ont pour but de récupérer des mots de passe.
Cela peut aussi servir pour espionner un utilisateur et classe donc ces menaces dans la catégorie spywares.
On distingue les keylogger logiciels qui sont des programmes tournant sur le système d’exploitation, des keyloggers matériels qui sont des dispositifs que l’on peut, par exemple, brancher à un clavier.

La plupart des trojans qui visent à voler des données ont des fonctionnalités de keylogger.

• Les keylogger ou enregistreur de frappes clavier
• Les anti-Keylogger pour se protéger des keyloggers

Worms ou vers informatiques

Les vers informatiques ou worms en anglais sont des logiciels malveillants capables de se propager tout seul d’un ordinateur à l’autre.
C’est donc leur mode de propagation qui donne ce nom à ce type de menaces informatique.
On distingue, grosso modo, deux types de vers informatiques :

• Les vers qui exploitent des vulnérabilités distantes en envoyant des requêtes sur le réseau. Ainsi, ils vont pouvoir infecter des ordinateurs vulnérables. Les vers les plus connus sont Blaster ou Conficker.
• Les vers Worm.Autoruns ou Worm.VBS qui utilisent les médias amovibles (clés USB, disque dur externe, etc) pour se propager d’un ordinateur à l’autre. Se reporter à la page : Les virus sur clé USB.

2017 a connu le premier ransomware, Wannacry, avec des fonctionnalités de vers informatique pour infecter les ordinateurs : FAQ – WannaCry (WanaDecryptor) 

Enfin, pour plus d’informations sur ce type de menaces, suivre la page suivante : 

Rootkit

Les rootkits sont des logiciels malveillants connus pour leurs capacités à se dissimuler dans le système.
Ils ont très vite existé sur Linux ou Windows.
On distingue en général deux types de rootkits :

• les rootkits kernel-mode qui dans le cas de Windows fonctionne avec un pilote / drivers
• les rootkits userland qui fonctionne au niveau utilisateur. Pour ceux qui ont connus courant l’adware Magic.Control aoutur de 2005, ce dernier possédait des fonctions de rootkit userland
• bootkits : rootkit conçu pour se charger avant le système d’exploitation pour obtenir la main très tôt avant les premières protections. Pour cela, il s’attaque au bootloader

Dans les deux cas, cela fonctionne de la même manière puisqu’il s’agit de détourner les appels systèmes (API) de Windows vers le rootkit.
Ce dernier va alors répondre et falsifier les réponses.
Par exemple, si une application fait un appel API pour obtenir la liste des processus Windows, le rootkit peut détourner l’appel pour retourner une liste sans le processus du rootkit.
Ainsi, le gestionnaire de tâches, par exemple, ne listera pas le processus malveillant.
Des rootkits kernel-mode peuvent détourner les appels systèmes liés aux systèmes de fichiers pour cacher un fichier de l’explorateur de fichiers ou interdire la suppression de ce dernier.

L’historique des rootkits sur Windows

Pour ce dernier, ils ont explosés en 2005/2007 avec des rootkits kernel-mode avec Rustock, Cutwail puis le malware TDSS et ZeroAccess.
Ces deux derniers furent actifs pendant plusieurs années : Rootkit.TDSS TDL 4 (Trojan.Alureon) et plus tard ZeroAccess / Sirefef.B / Rootkit.Win32.ZAccess / MAX++

Par la suite, les rootkits se sont attaqués au secteur MBR du disque pour se rendre actif très tôt au démarrage de Windows.

Certains adwares ont utilisé des fonctions rootkit comme Pilotes « bsdriver.sys » & « cherimoya.sys » : abengine

La suppression est donc plus complexe, il faut en général utiliser un outil dédié pour les détecter.

Ransomwares ou rançongiciels

Les ransomwares ou rançongiciels sont des menaces informatiques qui prennent en otage l’ordinateur ou les documents et demandent à payer une somme d’argent pour récupérer l’accès à ces derniers.
On peut distinguer deux types de ransomwares :

• Les ransomwares dits crypto-ransomware qui chiffrent les données et demandent de payer une rançon pour récupérer l’accès à ces derniers. Fin 2015, ces derniers ont connus une forte poussé avec notamment le ransomware TeslaCrypt puis Locky.
  • crypto-ransomware / rançongiciels chiffreurs de fichiers
  • Ransomwares/Rançongiciels : Cerber, Spora et Jaff
• Les Trojan WinLock qui visent à bloquer l’accès à Windows. Fin 2011, les Trojan Winlock se faisant passer pour les autorités ont été très utilisés jusqu’en 2013 : Les Trojan Winlock Fake Police. 

Le malware Reveton a été Trojan WinLock le plus actif, à noter que ce dernier voler aussi les mots de passe. Par la suite, le même groupe a produit le ransomware CryptXXX qui voler aussi les mots de passe.

Ransomware & extorsion : l’ère du Ransomware-as-a-Service (RaaS)

Les ransomwares restent l’une des menaces les plus destructrices pour les entreprises et les particuliers. Depuis quelques années, leur modèle s’est professionnalisé à travers le Ransomware-as-a-Service (RaaS) : des développeurs conçoivent des outils de chiffrement et les mettent à disposition de cybercriminels partenaires (« affiliés ») en échange d’un pourcentage sur les rançons.

Ce modèle a permis une explosion du volume et de la diversité des attaques, même pour des groupes peu techniques. Il a aussi favorisé l’apparition de nouveaux groupes très actifs, comme :

• LockBit 3.0, qui reste en 2025 l’un des opérateurs les plus prolifiques,
• Medusa et RansomHub, impliqués dans de nombreuses campagnes mondiales,
• et 8Base, souvent utilisé pour cibler les PME via des vulnérabilités connues.

Ces attaques ne se contentent plus de chiffrer les fichiers : elles reposent désormais sur la double voire triple extorsion. En plus de bloquer l’accès aux données, les cybercriminels menacent de :

• publier les documents volés sur le dark web,
• alerter les clients ou partenaires de la victime,
• ou lancer des attaques DDoS supplémentaires en cas de refus de paiement.

Les montants de rançon peuvent atteindre plusieurs millions d’euros, et les secteurs les plus visés en 2025 restent la santé, l’industrie, l’éducation et les collectivités locales, souvent moins bien protégés.

Adwares ou publiciels

Les adwares sont des logiciels publicitaires qui sont souvent distribués en mode PUP (voire plus bas).
Des sociétés avec pignon sur rue ont très vite développer des logiciels publicitaires qu’ils ont proposés comme sponsors à des éditeurs de logiciels.
Le but est donc de monétiser leur programme en faisant installer des adwares sur les ordinateurs.
Une fois actif, l’adware va charger des publicités sur l’ordinateur comme des popups à intervalles réguliers, des onglets qui vont s’ouvrir au moindre clic sur une page.
Cela devient donc vite agaçant pour l’utilisateur de l’ordinateur.

Dans les années 2004, la société française Eorezo a été très active à travers des widgets qui modifiaient la page de démarrage et installer un adware sur les ordinateurs.
Par la suite, des tutoriels en vidéo ont embarqué des adwares (Tuto4PC) qui étaient promus par le site telecharger.com (01net).
À partir de 2011, une explosion a eu lieu avec l’âge d’or des PUPs, des logiciels de nettoyage comme AdwCleaner ont alors vu le jour pour désinfecter et supprimer les adwares.
Les adwares se sont aussi attaqués au monde du Mac et Android :

• Les adwares sur Android
• Adwares et publicités sur MacOSX

On peut assister à des adwares très évolués comme Magic.Control (voire partie rootkit) ou encore Adwares v-bates qui patchait le fichier système dnsapi.dll

Les liens autour des Adwares :

• Supprimer les popup de publicités / Adware
• Désinfection manuelle de Windows (Trojan, Adware etc)

Les Browser Hijacker

Les Browser Hijacker pour pirate des navigateurs internet sont des logiciels malveillants qui modifient les paramètres des navigateurs internet.
Le but est d’imposer un moteur de recherche en page de démarrage et moteur de recherche par défaut.
Cela permet de faire gagner de l’argent à l’auteur en augmentant l’audience d’un moteur de recherche ou en gagnant de l’argent sur le volume de trafic envoyer vers des moteurs de recherche.
Ces menaces s’utilisent dans la guerre des moteurs de recherche.

Les plateformes PUPs ont beaucoup poussé des Browser Hijacker avec les adwares.
Une page sur le site se consacre à ces menaces :

PUP : Les programmes indésirables

PUP pour Potentially Unwanted Programs soit les programmes potentiellement indésirables.
Il s’agit de programmes proposés à l’installation de logiciels sains.​
C’est un moyen de monétiser un logiciel, puisque l’éditeur du logiciel va gagner de l’argent à chaque installation réussie.
On peut voir cela comme du sponsoring.
La plupart du temps, les programmes proposés à l’installation sont des adwares ou des Browser Hijacker.
De ce fait, les internautes ont vite détesté ce type de procédés.

Ces méthodes ont explosé depuis 2011 où plusieurs plateformes de PUPs ont sévi.
Par exemple, la plateforme InstallCore est assez spécialisé pour proposer à des sites de téléchargement (telecharger.com ou Clubic y sont passés) pour pousser des programmes additionnels.

Mais, InstallCore est aussi actif à travers de faux messages de mises à jour Flash ou Java (voir : Fausses mises à jour Java / Flash).
Pour des détails plus complets sur InstallCore, lire : InstallCore : PUPs et Adwares
D’autres exemples de plateformes de PUPs comme Win32/Amonetize : Adwares et PUPs sont plutôt spécialisés dans les faux cracks.

Malware sans fichier (fileless)

Les malwares sans fichier, ou fileless malware, représentent une menace de plus en plus répandue et difficile à détecter. Contrairement aux virus traditionnels qui s’installent sur le disque dur, les malwares fileless s’exécutent entièrement en mémoire, souvent via des outils déjà présents dans Windows, comme PowerShell, WMI, ou mshta.exe. Cela leur permet de passer sous le radar des antivirus classiques, qui surveillent en priorité les fichiers écrits sur le disque.

Un malware fileless ne laisse que très peu de traces : il est souvent lancé à partir d’un document piégé (Word, Excel) contenant une macro, ou via une commande scriptée exécutée depuis une page web compromise. Une fois en mémoire, il peut télécharger une charge utile (payload), exfiltrer des données ou établir une connexion avec un serveur distant (C2) sans jamais déposer de binaire sur le système de fichiers.

Ces attaques sont très utilisées dans les campagnes ciblées ou les phases initiales d’infection, car elles permettent d’établir une persistance discrète et d’éviter les solutions de sécurité traditionnelles.

Par exemple : des groupes APT (menaces persistantes avancées) ont utilisé des scripts PowerShell chiffrés lancés depuis la mémoire via WMI Event Consumers pour compromettre des environnements Windows sans déclencher d’alerte antivirus.

Exploit et Drive-by download

Les Exploits sont des codes qui visent à exploiter une vulnérabilité connues ou inconnues (dites 0-day).
Les vers informatiques utilisent, par exemple, des exploits pour se propager d’un ordinateur à l’autre.
Le nom est donc générique pour un type de code malveillant, toutefois des menaces ont vu très vite le jour.

À partir de 2011, les Web Exploit ont explosé comme moyen d’infecter les ordinateurs.
À l’époque, les plugins Adobe Flash, Adobe Reader et Adobe Java étaient installés sur la plupart des navigateurs internet.
En chargeant un applet Java, Flash ou un PDF exploitant une vulnérabilité sur ces plugins, on pouvait faire exécuter de manière automatique un malware sur l’ordinateur.
Ainsi, à la simple visite d’un site internet piraté ou contenu une malvertising (publicité malveillante) qui redirige vers un exploit Web, les ordinateurs des internautes ont pu être infectés.
Le terme utilisé pour ce type d’attaque est Drive-by download.

La page suivante explique le fonctionnent en détail des Web Exploit : Les Exploits sur les sites WEB piégés

Malvertising (publicité malveillante)

Malvertising est la concaténation de Malware et advertising, il s’agit donc de publicités malveillantes.
Les malvertising ont été très vite utilisées par les cybercriminels pour rediriger les internautes vers des Web Exploit Kit.
Le procédé est simple, vous visitez un site contenu une malvertising, celle-ci va charger la publicité, mais également le Web Exploit qui va faire son travail pour tenter d’infecter l’ordinateur.
Tout est automatique à travers des JavaScript ou iframe.

La page suivante décrit le fonctionnement de ces dernières : Les publicités malicieuses « Malvertising », source de distribution des virus.

Sur la page suivante, vous trouverez des explications autour de l’arrestation d’un cybercriminel diffusant des malvertising : Arrestation d’un cybercriminel lié à des malvertising et virus police

Bien entendu, on peut porter le terme pour toutes publicités malveillantes.
Ainsi, des publicités menant à des scarewares ou arnaques de support téléphoniques sont aussi utilisées.
Les sites pornographiques, mais surtout de streaming illégaux, sont très vecteurs de malvertising.
Plus d’informations :

La nomenclature des antivirus

Les familles de malwares

Les menaces peuvent être classées par famille, quand il s’agit du même malware qui revient sous diverses campagnes ou utiliser par différents acteurs.
On trouve donc des centaines et des centaines de familles de malware comme Zeus, Carberp, etc.
Il peut aussi arriver que le code source d’un malware soit publié et utilisé pour donner une nouvelle famille.
C’est notamment le cas avec les Trojan Banker.

Vous trouvez une liste de famille de malwares sur la page : 

Les détections génériques

Les antivirus possèdent des détections génériques, c’est-à-dire des codes connus ou un ensemble de facteurs qui font qu’un fichier peut être déclaré comme malveillant.
Dans ce cas-là, la famille du malware n’est alors pas mentionnée puisque inconnue, mais un nom de détection générique peut revenir.
Les noms donnés peuvent être liés à différents éléments :

• aux langages informatiques utilisés, par exemple Trojan.MSIL ou Trojan.VB.
• mais aussi liés aux actions que le malware peut effectuer : Trojan.Downloader, Trojan.PWS, Trojan.Stealer, ou Trojan.Spambot
• des détections génériques liées aux numéros de détection génériques de l’antivirus, exemple : Trojan.Gen.645

Vous trouvez une liste des détections génériques les plus communs sur la page : Index des menaces et programmes malveillants/Malwares

Autres termes liés aux logiciels malveillants

Dropper et Payload

Dans une chaîne d’attaque, on peut distinguer la partie qui installe l’infection (Dropper) de la partie qui va travailler une fois le malware actif dans le système (Payload).
Ainsi, si vous recevez un mail avec une pièce jointe contenant un script VBS, ce dernier est le dropper.
La seule fonction du script VBS est de télécharger et exécuter le Trojan dans l’ordinateur.
Un Trojan Downloader est aussi un dropper puisqu’il se charge de télécharger et exécuter le malware.

La page suivante aborde ces deux termes : Dropper & Payload : Explications

Les Trojan Winlock et virus Police

Il existe aussi des ransomwares qui bloque le navigateur internet, on notera Browlock (pour Browser Lock) :

• Virus Gendarmerie Nationale – DLCC Division de lutte contre la cybercriminalité
• Virus Police Nationale

Les arnaques de support téléphoniques ont part la suite utilisées ces méthodes pour bloquer les navigateurs internet sur de fausses erreurs de Windows pour demander à contacter une hotline téléphonique.
Enfin, début 2018, un Trojan Winlock « Windows a détecté des activités suspectes » faisant croire à une erreur Windows bloque ce dernier pour pousser ces mêmes arnaques téléphoniques.

Rogues ou scarewares

Les rogues ou scarewares sont des menaces qui ont été très importantes de 2004 à 2011.
Les ransomwares de type Trojan Winlock ont ensuite pris le relai.
Le mot scarewares peut se traduire par logiciel alarmant ou logiciel qui tente de faire peur.

Un rogue est programmé qui tente de se faire passer pour légitime dans le but de faire acheter une licence.
Très longtemps, les rogues se sont fait passer pour de faux antivirus.
In trojan vise à afficher de fausses alertes indiquant qu’un virus a infecté l’ordinateur, tout en installant la partie Rogue.
Cette dernière va lancer des analyses de l’ordinateur et détecter toutes sortes de menaces, mais pour les supprimer, l’utilisateur devra acheter le faux antivirus.
Ces attaques reposent donc sur la peur de l’utilisateur face aux nombres, alertes et messages d’alertes et d’erreurs.

• Vous trouverez une liste de rogues et scarewares sur la page suivante : Rogues/Scareware
• Du côté des fausses alertes de sécurité, se rendre sur la page : Les Rogues et alertes de sécurité

De manière générale, pour ce qui est de fausses alertes de virus ou autres, vous pouvez lire l’article : Arnaque : fausse alerte de virus

En liens :

• Les logiciels de nettoyage de Windows
• Faux programmes de mises à jour de pilotes et drivers
• TotalAV présentation et avis