Les vecteurs d'entrée — comment le malware arrive
Un virus ou un malware ne surgit pas de nulle part. Il entre par un vecteur — un canal par lequel il passe de l'extérieur vers votre machine. Identifier ces vecteurs est la première étape pour comprendre où se situe le risque réel.
Pièces jointes et liens malveillants
Le vecteur le plus répandu reste l'email. Une pièce jointe qui contient un document Office avec une macro malveillante, un PDF exploitant une vulnérabilité du lecteur, ou un exécutable déguisé en facture. L'utilisateur ouvre le fichier, le code s'exécute. L'antivirus peut intercepter à l'ouverture si la signature est connue — il ne peut rien avant que le fichier soit reçu et ouvert.
Téléchargements depuis des sources non vérifiées
Les logiciels piratés, les "cracks", les installateurs tiers pour des logiciels légitimes hébergés sur des sites douteux sont des vecteurs classiques. L'installateur contient le logiciel promis et, en bonus, un adware, un ransomware ou un spyware installé silencieusement en arrière-plan. La détection est difficile car le comportement initial de l'installateur est légitime.
Exploitation de vulnérabilités
Les exploits zero-day ciblent des vulnérabilités non encore corrigées dans des logiciels courants — navigateurs, lecteurs PDF, plugins. Une simple visite sur une page web compromise peut déclencher l'exécution de code malveillant sans aucun clic de l'utilisateur. C'est le drive-by download. Contre ce vecteur, la mise à jour régulière des logiciels est la défense la plus efficace — plus que l'antivirus, qui n'a pas nécessairement la signature du malware exploitant la vulnérabilité le jour J.
Sur un réseau non sécurisé, un attaquant peut injecter du code dans des pages web non chiffrées (HTTP) que vous visitez. Un VPN actif chiffre ce trafic et rend cette injection impossible. C'est un des rares cas où la protection réseau agit directement sur un vecteur d'infection.
Le comportement post-infection
Une fois exécuté, le malware peut adopter différents comportements selon son objectif. Le ransomware chiffre les fichiers utilisateur et affiche une demande de rançon — c'est visible et immédiat. Le spyware s'installe discrètement, surveille les frappes clavier, capture les captures d'écran, et exfiltre les données vers un serveur distant — parfois pendant des semaines sans se manifester. Le botnet enrôle silencieusement votre machine dans un réseau d'ordinateurs zombies utilisés pour des attaques DDoS ou du spam.
La discrétion est souvent un critère de conception du malware : plus il reste longtemps invisible, plus il peut collecter de données ou causer de dommages. Les menaces actuelles sur PC incluent des malwares conçus pour résister à la détection en se fragmentant, en utilisant des processus système légitimes comme enveloppe, ou en désactivant l'antivirus lui-même.
Ce que l'antivirus voit — et ce qu'il rate
L'antivirus à signatures est efficace contre les menaces connues et répertoriées. Son taux de détection sur les malwares connus dépasse généralement 99% selon les tests indépendants (AV-TEST, AV-Comparatives). Là où il peine : les malwares polymorphes qui modifient leur signature à chaque copie, les malwares fileless qui s'exécutent uniquement en mémoire sans jamais écrire sur le disque, et les zero-days non encore répertoriés.
La détection comportementale améliore la couverture mais génère des faux positifs — des programmes légitimes dont le comportement ressemble à celui d'un malware. Un logiciel de compression qui accède à de nombreux fichiers rapidement peut déclencher les mêmes alarmes qu'un ransomware. L'équilibre entre sensibilité et faux positifs est un des défis constants des éditeurs d'antivirus.
Le rôle du réseau dans le cycle d'infection
Le réseau intervient à deux moments du cycle d'infection : à l'entrée (le malware doit être téléchargé ou injecté) et après l'infection (le malware doit communiquer avec son serveur de commande pour recevoir des instructions ou exfiltrer des données). Un VPN ne bloque pas le téléchargement d'un fichier malveillant — il chiffre le canal. Mais il peut compliquer la communication post-infection si le malware tente de joindre des serveurs via des protocoles que le VPN ne route pas normalement.
C'est une protection secondaire, pas une protection primaire. La défense principale contre l'infection reste l'antivirus, les mises à jour régulières, et la vigilance sur les sources de téléchargement. Pour comprendre comment antivirus et VPN se répartissent les rôles, la comparaison complète détaille chaque surface de protection.