Comment savoir si j’ai été infecté par un logiciel malveillant ?

Détecter une infection par un logiciel malveillant repose de moins en moins sur les symptômes visibles. Les malwares actuels, distribués via des mises à jour de paquets open source légitimes (npm, PyPI, AUR) ou intégrés dans des chaînes d’approvisionnement logicielles, fonctionnent sans ralentir la machine ni afficher de pop-up.

Cette discrétion rend les grilles de lecture classiques insuffisantes. L’enjeu n’est plus seulement de repérer un ordinateur lent, mais de croiser plusieurs indicateurs techniques pour distinguer un comportement normal d’une compromission silencieuse.

A découvrir également : Qu'est-ce que l'audit ISO 27001 ?

Symptômes classiques face aux infections silencieuses : un écart grandissant

La plupart des guides listent des signes comme la lenteur du système, les fenêtres publicitaires intempestives ou les plantages répétés. Ces indicateurs restent pertinents pour certains types de menaces (adwares, cryptomineurs). En revanche, ils ne couvrent qu’une fraction des infections actuelles.

Indicateur Détecte les malwares visibles (adware, cryptomineur) Détecte les malwares furtifs (rootkit, backdoor supply chain)
Ralentissement système Oui Rarement
Pop-up ou redirections navigateur Oui Non
Programmes inconnus installés Oui Non (paquet légitime détourné)
Activité réseau sortante anormale Parfois Oui
Modifications de fichiers système ou de configuration Rarement vérifié Oui
Alertes antivirus à jour Oui Partiel (signatures pas toujours disponibles)

Le tableau met en évidence un point souvent sous-estimé : l’activité réseau sortante reste le signal le plus fiable pour repérer une infection furtive. Un ordinateur qui envoie des données vers des serveurs inconnus en dehors de toute utilisation active mérite une investigation, même si tout le reste semble normal.

A lire également : Quelles sont les données que le RGPD n'interdit pas de collecter ?

Homme en open space découvrant une alerte de sécurité informatique sur son ordinateur de bureau au travail

Vérifier l’activité réseau et les processus sur votre ordinateur

Avant de lancer un antivirus, deux vérifications manuelles permettent de repérer des anomalies que les outils automatisés peuvent manquer.

Analyse des connexions réseau actives

Sur Windows, la commande netstat -ab dans un terminal administrateur affiche toutes les connexions réseau en cours et les programmes associés. Sur Linux, la commande équivalente est ss -tunap. Recherchez des connexions établies vers des adresses IP ou des noms de domaine que vous ne reconnaissez pas, surtout celles qui utilisent des ports inhabituels.

Un processus système qui communique avec un serveur externe sans raison apparente constitue un signal d’alerte. Notez l’adresse IP et vérifiez-la sur un service de réputation (comme VirusTotal) avant de tirer des conclusions.

Inspection des processus et des programmes au démarrage

Le Gestionnaire des tâches (Windows) ou la commande top/htop (Linux) permet de repérer des processus qui consomment des ressources de façon anormale ou dont le nom ne correspond à aucun logiciel installé volontairement. Vérifiez aussi les programmes lancés au démarrage du système : un malware persistant s’y inscrit fréquemment pour survivre aux redémarrages.

  • Comparez la liste des programmes au démarrage avec ceux que vous avez installés vous-même, et désactivez tout élément non identifié avant de le rechercher en ligne
  • Vérifiez les tâches planifiées (schtasks sur Windows, crontab sur Linux) : certains malwares créent des tâches récurrentes pour se relancer ou exfiltrer des données à intervalles réguliers
  • Sur Linux, inspectez les paquets récemment installés ou mis à jour (via le journal du gestionnaire de paquets) pour détecter une modification non sollicitée, notamment dans le contexte des attaques supply chain ciblant les dépôts AUR ou PyPI

Malware sur Linux : des vérifications spécifiques à ne pas négliger

Les systèmes Linux connaissent une hausse marquée des vulnérabilités noyau, avec 8 à 9 nouvelles CVE par jour en 2025 selon les données disponibles. Cette tendance se traduit par une augmentation des malwares ciblant les serveurs et postes Linux, en particulier via des rootkits.

Vérifier la présence de rootkits avec des outils dédiés (chkrootkit, rkhunter) fait partie des réflexes à adopter après chaque alerte de sécurité ou mise à jour suspecte. Ces outils analysent les binaires système, les modules noyau chargés et les fichiers de configuration à la recherche de modifications caractéristiques.

La perception que Linux serait « naturellement protégé » ne tient plus face à la réalité des attaques supply chain. Un paquet installé depuis un dépôt communautaire (AUR notamment) peut contenir du code malveillant sans que le système ne le signale, puisque l’installation est volontaire et le paquet passe les vérifications classiques de signature.

Obligations de détection en entreprise : ce que changent DORA et NIS2

La question « comment savoir si j’ai été infecté » se pose différemment dans un contexte professionnel, notamment depuis l’entrée en vigueur de nouvelles réglementations européennes.

Depuis janvier 2025, la réglementation DORA impose aux acteurs financiers un rapport initial sous 24 heures après la détection d’un incident TIC, y compris une infection par malware. Les tests de résilience réguliers doivent intégrer la détection de logiciels malveillants dans les procédures internes.

La directive NIS2, qualifiée de « RGPD de la cybersécurité », étend ces exigences à un péventail plus large d’organisations. Elle impose un inventaire des actifs, une supervision continue et une remontée d’alerte structurée. Pour une entreprise concernée, ne pas détecter une infection n’est plus seulement un risque technique : c’est un manquement réglementaire.

Ces cadres réglementaires poussent les organisations à dépasser la simple installation d’un antivirus. La supervision réseau en continu, l’analyse des journaux système et la vérification régulière de l’intégrité des fichiers deviennent des pratiques attendues, pas optionnelles.

Jeune adulte sur un canapé examinant une notification suspecte de logiciel malveillant sur son smartphone

Antivirus et outils de détection : ce qui fonctionne, ce qui ne suffit plus

Un antivirus à jour reste un premier filtre utile. Il détecte les malwares connus grâce à ses bases de signatures et, pour les versions récentes, analyse le comportement des fichiers exécutés. En revanche, face à un malware distribué via une mise à jour légitime ou un paquet open source compromis, les signatures ne sont pas toujours disponibles au moment de l’infection.

Compléter l’antivirus par une analyse ponctuelle avec un second outil (scanner en ligne ou outil portable comme ESET Online Scanner ou Malwarebytes) réduit le risque de faux négatif. Les deux moteurs de détection ne partagent pas les mêmes bases, ce qui augmente la couverture.

Pour les utilisateurs avancés, les outils de surveillance d’intégrité de fichiers (AIDE, Tripwire sur Linux) permettent de détecter toute modification non autorisée sur les fichiers système, même en l’absence de signature connue pour la menace.

Le réflexe le plus fiable reste de combiner plusieurs couches : antivirus actif, vérification manuelle des processus et des connexions réseau, et surveillance de l’intégrité des fichiers. Aucun outil unique ne couvre l’ensemble du spectre des menaces actuelles, et la discrétion croissante des infections rend cette approche multicouche d’autant plus nécessaire.

Ne ratez rien de l'actu