Sélectionnez votre pays/région

Argentina

Brasil

Canada (English)

Canada (Français)

Caribbean (English)

Caribe (Español)

Chile

Colombia

Costa Rica

Ecuador

El Salvador

Guatemala

Hispanoamérica

México

Panamá

Perú

Puerto Rico (English)

United States

Uruguay

Venezuela

België (Nederlands)

Belgique (Français)

Česko

Danmark

Deutschland

España

Estonia (English)

France

Iceland (English)

Ireland (English)

Israel (English)

Italia

Latvia (English)

Lithuania (English)

Luxembourg (Français)

Magyarország

Nederland

Norge

Österreich

Polska

Portugal

România

Schweiz (Deutsch)

Suisse (Français)

Svizzera (Italiano)

South Africa

Suomi

Sverige

Türkiye

United Arab Emirates (English)

United Kingdom

Ελλάδα

Россия

Australia

Cambodia (English)

Hong Kong (English)

香港

India (English)

Indonesia (English)

Malaysia (English)

New Zealand

Philippines (English)

Singapore (English)

Thailand (English)

Vietnam (English)

대한민국

中国

台灣

日本

Qu'est-ce qu'une attaque de ransomware ? Définition et conseils de prévention

Le ransomware peut verrouiller votre appareil et prendre vos fichiers en otage. Deux options s'offrent à vous : payer le cybercriminel ou risquer de perdre des données irremplaçables. Découvrez comment vous protéger contre ces attaques intrusives et comment Norton peut vous aider.

Obtenir Norton AntiVirus Plus

2026

Advanced+

Malware Protection

2026

Top Rated Product

Image d'un cadenas sur un clavier illustrant des fichiers verrouillés par un ransomware.

Rédigé par Oliver Buxton
Auteur Mark Birchall
Publié(e) 26 juin 2026 10 minutes de lecture

Sommaire

Qu'est-ce qu'une attaque de ransomware ?
Les cibles courantes des attaques de ransomware
Faut-il payer la rançon ?
Comment réagir face à une attaque de ransomware
Comment aider à éviter les ransomwares
Protégez-vous contre les ransomwares
FAQ

Le principe du ransomware, un type de malware, est simple : verrouiller et chiffrer les données de l'ordinateur ou de l'appareil d'une victime, puis exiger une rançon pour en restaurer l'accès. Le rapport Gen sur les menaces de mi-2025 cite FunkSec parmi les premiers exemples du genre. Le groupe a eu recours à l'IA générative dans certaines parties de ses opérations et a ciblé plus de 100 victimes. Le ransomware a été conçu pour chiffrer les fichiers et désactiver délibérément des dizaines de services, notamment les navigateurs, les lecteurs multimédias, les clients de messagerie e-mail et même le Gestionnaire des tâches.

Des chercheurs ont par la suite découvert une faille permettant la récupération de certaines données sans paiement, et FunkSec est depuis lors passé dans l'ombre. Mais la menace persiste, à mesure que l'écosystème des ransomwares se fragmente en groupes plus petits et en outils copiés à partir de codes divulgués. Et FunkSec n'est pas le seul ransomware qui existe.

Découvrez ce qu'est une attaque de ransomware et comment y répondre, afin de savoir quoi faire (et quoi éviter) en cas d'attaque.

Qu'est-ce qu'une attaque de ransomware ?

Une attaque de ransomware se définit comme une attaque au cours de laquelle un pirate accède à un appareil via des failles de sécurité ou une erreur humaine et chiffre les données qui y sont stockées. Voici quelques méthodes courantes pour obtenir l'accès :

Attaques d'ingénierie sociale : Parmi celles-ci figurent les e-mails de phishing d'un attaquant se faisant passer pour quelqu'un à qui vous faites confiance, comme un collègue, afin de pousser les cibles à cliquer sur des liens trompeurs ou à ouvrir des fichiers malveillants déclenchant des téléchargements de ransomware dissimulés.
Abus du protocole RDP (Remote Desktop Protocol) : Cela se produit lorsque des pirates se connectent à un appareil à distance en devinant ou en volant des mots de passe faibles. Ils peuvent ensuite se connecter en tant qu'utilisateur et installer ou lancer un ransomware sur un système ou un réseau.
Kits d'exploit : Ces kits dissimulent du code malveillant sur des sites web ou des publicités compromis et exploitent automatiquement les vulnérabilités des logiciels non corrigés pour installer silencieusement un ransomware lors d'une visite.

Mais, que fait un ransomware ? Voici les étapes détaillées :

Infection initiale : Les pirates s'introduisent via le phishing, des identifiants volés ou des failles dans des logiciels non corrigés, puis installent directement le ransomware sur l'appareil ou le réseau.
Chiffrement : Selon le type de ransomware, celui-ci peut chiffrer uniquement des fichiers personnels tels que des documents et des photos, ou encore perturber des fonctions du système, par exemple verrouiller complètement votre appareil.
Demande de rançon : Vous recevez un message exigeant un paiement en échange d'une clé de déchiffrement, accompagné d'instructions sur la façon d'effectuer le paiement.

Cependant, même si une rançon est exigée, rien ne garantit que vos données seront restaurées si vous payez cette rançon. Même si vous payez, les cybercriminels peuvent ne jamais vous fournir la clé de déchiffrement.

Schéma illustrant le fonctionnement des attaques de ransomware.

Les cibles courantes des attaques de ransomware

Bien que le ransomware puisse se propager à grande échelle, la nature du malware de chiffrement de fichiers permet aux cybercriminels de cibler des victimes jugées plus susceptibles de subir une pression pour récupérer leurs données ou rétablir leurs opérations.

Un rapport Gen sur les menaces publié plus tôt cette année sur les statistiques des ransomwares a révélé moins d'exemples de ransomwares à diffusion massive et davantage d'attaques ciblées à petite échelle. Un exemple marquant est le ransomware Trinity, qui ciblait les petites et moyennes entreprises, menaçant de verrouiller des fichiers et de divulguer des données volées.

Voici cinq groupes cibles et les impacts potentiels pour chacun d'eux :

Groupes dotés d'équipes de sécurité réduites : Cela inclut les universités et les établissements similaires qui disposent de processus étendus de partage de fichiers et de contrôles de sécurité inégaux. Comparitech a recensé 180 attaques de ransomware dans le secteur éducatif américain au cours des neuf premiers mois de 2025. La demande de rançon moyenne dans le cadre de ces attaques s'élevait à 444 400 USD (environ 380 000 €).
Les organisations capables de payer rapidement et disposées à le faire : Les agences gouvernementales, les prestataires de soins de santé et autres services essentiels constituent également des cibles de choix, car toute interruption de service y engendre une pression opérationnelle immédiate.
Les entreprises qui détiennent des données sensibles : Les cabinets d'avocats et les prestataires de services professionnels sont exposés à des risques, car toute fuite de données entraîne des conséquences juridiques et des atteintes à la réputation. Car lorsque ces entreprises refusent de payer, les données sensibles ne sont pas supprimées, mais rendues publiques.
Petites et moyennes entreprises : Les tendances récentes en matière de ransomware ciblant les PME montrent que les cybercriminels privilégient les petites entreprises, souvent dépourvues de défenses appropriées, mais fortement dépendantes des systèmes numériques.
Les entreprises des marchés occidentaux : Les cybercriminels visent des gains plus importants, ce qui les amène à cibler les entreprises. Cela implique notamment de se concentrer sur le Royaume-Uni, les États-Unis et le Canada, en raison de leur richesse plus importante et de leur utilisation plus répandue des ordinateurs personnels.

Faut-il payer la rançon ?

Non, vous ne devriez pas payer la rançon. Une fois l'argent versé, la victime dispose de peu de recours et n'a aucune garantie que l'attaque est réellement terminée. Le FBI met également en garde contre le risque d'inciter les pirates à cibler davantage de personnes, sans parler de l'encouragement que cela représente pour d'autres criminels souhaitant rejoindre ces activités.

De plus, le paiement d'une rançon ne garantit pas la récupération de vos fichiers. Dans de nombreux cas, les pirates ne fournissent pas de clé de déchiffrement fonctionnelle (le code nécessaire pour déverrouiller les fichiers chiffrés par un ransomware) ou cessent de répondre après le paiement de la rançon. Même lorsque le déchiffrement fonctionne, les fichiers peuvent rester corrompus ou inutilisables.

Enfin, il y a la question de l'exposition des données. Payer pour déverrouiller des fichiers ne signifie pas que les données volées n'ont pas déjà été copiées. Les pirates peuvent toujours vendre les données sur le Dark Web ou exiger un second paiement pour éviter une fuite publique.

Ce changement de mentalité, qui consiste à ne plus payer, est déjà perceptible. Coveware a indiqué qu'environ 23 % seulement des victimes de ransomware ont payé la rançon fin 2025. Si les grandes organisations refusent de plus en plus de payer, les entreprises de taille intermédiaire commencent, elles aussi, à résister aux demandes.

Comment réagir face à une attaque de ransomware

La réponse à une attaque de ransomware implique généralement de contenir l'infection, de collecter des informations de base, de signaler l'incident et de restaurer l'appareil en toute sécurité. L'objectif n'est pas de négocier avec les attaquants, mais de limiter les dégâts et de réduire le risque de perte de données supplémentaire.

Voici un guide étape par étape pour répondre aux attaques de ransomware :

Isoler l'appareil infecté : Déconnectez-le du Wi-Fi, des réseaux filaires, du Bluetooth et des disques externes. Cela permet d'empêcher le ransomware de se propager à d'autres appareils ou espaces de stockage partagés.
Identifier le type de ransomware : Si possible, notez le message de rançon, les extensions de fichier ou les noms de fichier utilisés. Cela peut aider à déterminer si un déchiffreur connu existe ou si des options de récupération sont disponibles.
Rassembler des preuves : Enregistrez des captures d'écran des notes de rançon, des noms de fichiers et de tout message affiché à l'écran. Conservez des copies des fichiers chiffrés, car elles peuvent être utiles pour les déclarations et les analyses ultérieures.
Signaler l'attaque : Signalez l'attaque à votre commissariat de police ou gendarmerie, ainsi qu'à la CNIL si vos données personnelles ont fait l'objet d'un accès non autorisé. Vous pouvez également obtenir une assistance en ligne via 17Cyber. Même si la récupération n'est pas possible, les signalements permettent de suivre les campagnes actives et de soutenir les efforts de démantèlement à plus grande échelle.
Effacer et restaurer : Une fois les preuves collectées, la solution la plus sûre consiste souvent à effacer complètement l'appareil et à restaurer les données à partir de sauvegardes de données saines effectuées avant l'attaque. Évitez de restaurer des fichiers, sauf si vous êtes certain qu'ils ne sont pas infectés.
Mettre tous les mots de passe à jour : Créez des mots de passe sécurisés pour votre messagerie, votre stockage cloud, vos comptes financiers et tout service auquel vous accédez depuis l'appareil infecté. Des identifiants ont pu être exposés, notamment si l'attaque impliquait un vol de données.

Dans certains cas, un décrypteur de ransomware peut également être disponible. Il s'agit d'outils créés par des chercheurs en sécurité ou des forces de l'ordre lorsqu'une faille est découverte dans une souche de ransomware spécifique ou lorsque des clés sont récupérées après un démantèlement.

Par exemple, les chercheurs de Gen Digital Inc. ont créé un outil de déchiffrement gratuit pour le ransomware Midnight, permettant aux victimes de s'en sortir sans payer la rançon. C'est pourquoi l'identification rapide du type de ransomware peut s'avérer utile.

Comment aider à éviter les ransomwares

La réduction du risque repose sur des habitudes qui limitent l'infiltration et la propagation des ransomwares. Cela comprend la mise à jour de vos appareils, la vigilance concernant les e-mails et les téléchargements, l'utilisation d'un VPN sur les réseaux Wi-Fi publics, ainsi que la maîtrise des techniques de récupération de vos données sans avoir à négocier avec les attaquants.

Gardez à l'esprit ces bonnes et mauvaises pratiques pour éviter les attaques de ransomware :

Utiliser un logiciel de sécurité : Installez et utilisez un outil de protection contre les ransomwares fiable qui va au-delà des simples fonctions antivirus. Certains logiciels de sécurité contribuent également à détecter et à protéger contre les menaces visant votre identité et vos appareils, y compris vos téléphones portables.
Garder un logiciel de sécurité à jour : De nouvelles variantes de ransomware ne cessent d'apparaître : veillez à mettre à jour votre logiciel de sécurité Internet pour protéger vos appareils contre les cyberattaques.
Mettre à jour votre système d'exploitation et vos applications : Les mises à jour logicielles intègrent régulièrement des correctifs qui résolvent les nouvelles vulnérabilités de sécurité identifiées susceptibles d'être exploitées par des cybercriminels utilisant des ransomwares.
Ne pas ouvrir automatiquement les pièces jointes d'un e-mail : Évitez d'ouvrir des e-mails et des pièces jointes provenant de sources inconnues ou non fiables. Les messages spam de phishing peuvent notamment vous amener à cliquer sur un lien d'apparence légitime dans un e-mail contenant en réalité un code malveillant.
Se méfier des pièces jointes aux e-mails qui demandent d'activer les macros : Les macros sont de petits programmes intégrés aux documents permettant l'automatisation de tâches. Si elles sont activées, elles peuvent exécuter secrètement un code malveillant qui propage des ransomwares vers vos fichiers et contacts. Ainsi, à moins d'être absolument certain de pouvoir faire confiance à l'expéditeur de l'e-mail, ignorez la demande.
Sauvegarder les données hors ligne : Les pirates informatiques à l'origine du ransomware font pression sur leurs victimes en chiffrant des fichiers importants et en les rendant inaccessibles. Si la victime dispose de copies de sauvegarde stockées hors ligne ou dans le cloud, le cybercriminel perd une partie de son avantage. Mais ils peuvent faire monter les enchères en menaçant de divulguer ou de vendre des données sensibles si la rançon n'est pas payée.
Utiliser les services cloud : Cela peut contribuer à atténuer une infection par ransomware, car de nombreux services cloud conservent les versions précédentes des fichiers, vous permettant de revenir à la version non chiffrée.
Se méfier des réseaux Wi-Fi publics : Évitez d'utiliser le Wi-Fi public pour des activités sensibles dans la mesure du possible. Si vous vous connectez, utilisez un VPN de confiance pour chiffrer votre trafic et réduire le risque d'interception de vos identifiants ou d'injection de contenu malveillant par des pirates.
Ne pas payer la rançon : Gardez à l'esprit que vous pourriez ne pas récupérer vos fichiers même en cas de paiement d'une rançon. Un cybercriminel pourrait vous demander de payer à plusieurs reprises, vous extorquant de l'argent sans jamais vous restituer vos données.

Enfin, anticipez les risques grâce à un plan d'intervention en cas d'incident. Cela peut être aussi simple que de savoir où vous en êtes, quels comptes sécuriser en priorité, et comment déconnecter rapidement un appareil. La définition préalable de ces étapes permet d'agir sereinement et de limiter les dégâts en cas d'attaque de ransomware.

Protégez-vous contre les ransomwares

Le ransomware représente un risque réel, et la meilleure solution est de le bloquer avant qu'il ne s'exécute. Cela signifie repérer les escroqueries avant de cliquer, et disposer de protections de base si quelque chose passe entre les mailles du filet. Les outils de sécurité modernes comme Norton AntiVirus Plus sont conçus précisément pour assurer ce niveau de protection.

Norton offre une protection en temps réel contre les ransomwares et intègre un pare-feu intelligent pour bloquer les connexions non autorisées. Vous bénéficiez également de fonctions telles que la détection des escroqueries basée sur l'IA et d'un gestionnaire de mots de passe intégré, afin de réduire les points d'entrée courants exploités par les cybercriminels.

Obtenir Norton AntiVirus Plus

FAQ

Quelle est la principale cause des attaques de ransomware ?

La plupart des attaques de ransomware commencent par des attaques d'ingénierie sociale, comme l'ouverture d'une pièce jointe malveillante, le clic sur un lien trompeur ou le téléchargement d'un logiciel infecté. Les vulnérabilités logicielles non corrigées peuvent également faire l'objet d'exploits, mais elles sont moins courantes pour les appareils personnels.

Le ransomware peut-il se propager via le Wi-Fi ?

Oui, le ransomware peut se propager via le Wi-Fi lorsque les appareils d'un même réseau autorisent les dossiers partagés, utilisent des mots de passe trop simples ou exécutent des logiciels obsolètes présentant des vulnérabilités connues. Un appareil infecté peut alors analyser le réseau et tenter d'accéder aux autres appareils connectés.

Comment savoir si j'ai un ransomware ?

Le signe le plus courant est une note de rançon ou une demande de paiement apparaissant sur votre écran ou via un message. Si vous utilisez un logiciel antivirus, celui-ci peut également détecter le ransomware en temps réel avant que les fichiers ne soient entièrement chiffrés.

Enfin, dans certains cas, vous pourriez remarquer un comportement inhabituel de vos fichiers au préalable, mais une note de rançon est presque toujours affichée une fois l'attaque terminée.

Le ransomware peut-il être supprimé ?

Le ransomware peut généralement être supprimé en effaçant l'appareil ou à l'aide d'un logiciel de sécurité, mais cela ne restaure pas les fichiers chiffrés. Pour cela, vous avez besoin de sauvegardes de données ou d'un outil de déchiffrement.

Un logiciel antivirus peut-il bloquer les ransomwares ?

Oui, un logiciel antivirus peut bloquer les ransomwares, notamment avant qu'ils ne chiffrent les fichiers. Les outils modernes utilisent la surveillance en temps réel et la détection comportementale pour bloquer les ransomware lors de leur exécution. Veillez toutefois à maintenir votre logiciel de sécurité à jour afin qu'il puisse reconnaître les menaces les plus récentes.

Oliver Buxton
Rédacteur en cybersécurité

Rédacteur pour Norton, Oliver Buxton est spécialisé dans les menaces persistantes avancées. Ses travaux sur le cyberterrorisme ont été publiés dans le Times, et il a notamment rédigé des politiques de sauvegarde numérique.

Note éditoriale : Nos articles vous fournissent des informations éducatives. Nos offres peuvent ne pas couvrir ou protéger contre tous les types de crime, de fraude ou de menace sur lesquels nous écrivons. Notre objectif est d'accroître la sensibilisation à la cybersécurité. Veuillez consulter les conditions complètes lors de l'inscription ou de la configuration. N'oubliez pas que personne ne peut empêcher l'usurpation d'identité ou la cybercriminalité, et que LifeLock ne surveille pas toutes les transactions dans toutes les entreprises. Les marques Norton et LifeLock font partie de Gen Digital Inc.

Guide pratique Comment savoir si votre ordinateur est infecté par un virus : 9 signaux d'alerte

Publié(e) 27 février 2025 · 9 minutes de lecture

Malware Catégories de malwares : exemples et conseils de protection

Publié(e) 28 février 2025 · 15 minutes de lecture

Mobile Qu'est-ce qu'un ransomware mobile ?

Publié(e) 08 août 2018 · 3 minutes de lecture

Malware Qu'est-ce que la cybersécurité ? Définition, exemples et importance

Publié(e) 23 mars 2026 · 13 minutes de lecture

Malware 11 signes de piratage de votre téléphone et ce qu'il faut faire si c'est le cas

Mis(e) à jour 11 novembre 2025 · 8 minutes de lecture

Malware Adware : définition et comment le supprimer

Publié(e) 26 juin 2025 · 9 minutes de lecture

Produits

Fonctions du produit

Services et support

À propos

Norton fait partie de Gen, une entreprise internationale avec un éventail de marques de confiance.

Copyright © 2026 Gen Digital Inc. Tous droits réservés. Les marques commerciales ou marques déposées de Gen sont la propriété de Gen Digital Inc. ou de ses filiales. Firefox est une marque commerciale de Mozilla Foundation. Android, Google Chrome, Google Play et le logo Google Play sont des marques commerciales de Google, LLC. Mac, iPhone, iPad, Apple et le logo Apple sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays. App Store est une marque de service d'Apple Inc. Alexa et tous les logos associés sont des marques commerciales d'Amazon.com, Inc. ou de ses filiales. Microsoft et le logo Windows sont des marques commerciales de Microsoft Corporation aux États-Unis et dans d'autres pays. Le robot Android est une reproduction ou une modification de l'œuvre créée et partagée par Google et doit être utilisé en accord avec les conditions décrites dans le contrat d'attribution Creative Commons 3.0. Les autres noms peuvent être des marques commerciales de leurs détenteurs respectifs.

À propos de Gen Actualités Carrières Mentions légales Confidentialité Sécurité Conditions d'utilisation Accessibilité Annulation de votre contrat État du système Résilier le contrat