Qu’est-ce qu’un ransomware (rançongiciel) ? Définition et comment s’en débarrasser

Le ransomware (rançongiciel) fait partie des menaces les plus redoutées en cybersécurité. Ce type d’attaque peut bloquer l’accès à vos fichiers, perturber votre appareil et voler des données sensibles, tout en exerçant une pression psychologique pour vous pousser à payer. Pour bien vous protéger, il faut d’abord comprendre ce qu’est un ransomware, comment il fonctionne, et surtout comment réagir si vous en êtes victime. Voici l’essentiel à savoir.

30 juin 2026

15 min. de lecture

Ransomware : définition et comment s’en débarrasser

Ransomware : définition

Un ransomware, ou rançongiciel, est un malware conçu pour prendre vos données en otage. Les cybercriminels l’utilisent pour bloquer l’accès à des fichiers importants, les chiffrer, les supprimer ou menacer de les rendre publics tant qu’une rançon n’a pas été versée. L’objectif est de faire pression sur la victime pour obtenir de l’argent rapidement.

Les ransomwares ne ciblent pas seulement les grandes organisations : les particuliers peuvent aussi être concernés. Une attaque de rançongiciel peut ainsi vous faire perdre l’accès à vos photos, à vos documents personnels ou aux fichiers stockés sur votre téléphone. Dans le cadre professionnel, les conséquences peuvent être encore plus graves, car une seule attaque peut immobiliser une activité entière.

Concrètement, un ransomware désigne un outil d’extorsion numérique. Il ne se contente pas d’infecter un appareil, mais utilise l’intrusion informatique comme levier de chantage.

Comment fonctionne une attaque de ransomware ?

Un ransomware fonctionne en s’introduisant dans un appareil ou dans un réseau, puis en exécutant une action destinée à rendre les données inaccessibles ou à menacer leur divulgation. Dans de nombreux cas, il chiffre les fichiers de la victime avec une clé inconnue, ce qui empêche leur ouverture normale. Une note de rançon apparaît ensuite à l’écran pour exiger un paiement, souvent en cryptomonnaie, dans un délai limité.

L’attaque suit généralement plusieurs étapes. Les cybercriminels trouvent d’abord un point d’entrée, via une faille de sécurité non corrigée, un mot de passe volé ou par le biais de techniques d’ingénierie sociale. Une fois à l’intérieur, ils essaient souvent d’étendre leur présence, de désactiver certaines protections, de repérer les fichiers de valeur et parfois d’exfiltrer des données avant même de lancer le chiffrement.

Aujourd’hui, de nombreuses attaques de ransomware ne se limitent plus au blocage des fichiers. Les hackers peuvent ainsi menacer de publier des documents confidentiels, de contacter les clients de l’entreprise visée ou de perturber durablement son activité, afin de multiplier les moyens de pression.

Comment se propage un ransomware ?

Un ransomware peut se propager par différents canaux. Parmi les vecteurs d’infection les plus fréquents, on trouve les e-mails de phishing contenant une pièce jointe infectée ou un lien vers un site frauduleux.

Les rançongiciels peuvent également se diffuser via des téléchargements compromis, de faux logiciels, des extensions douteuses ou encore des publicités malveillantes (on parle de malvertising). Dans d’autres cas, les attaquants exploitent des mots de passe faibles ou volés pour accéder à distance à un appareil ou à un réseau professionnel.

Enfin, certaines souches sont capables de se propager latéralement dans un réseau interne. Cela signifie qu’une infection initiale sur un seul poste peut rapidement toucher d’autres machines, des serveurs et des espaces partagés si les protections sont insuffisantes.

Quelle est la différence entre un virus et un ransomware ?

Si les termes de virus et de ransomware sont parfois confondus dans le domaine de la sécurité informatique, ils présentent toutefois quelques nuances.

Un virus informatique est une catégorie générale de programme malveillant capable de s’attacher à un fichier légitime, de se propager et de perturber un système. Le ransomware, lui, est un type précis de logiciel malveillant dont l’objectif principal est l’extorsion. Néanmoins, les ransomwares peuvent utiliser des méthodes de diffusion similaires aux virus.

Autrement dit, tous les ransomwares sont des programmes malveillants, mais tous les virus ne sont pas des ransomwares. Un virus peut ralentir un appareil, corrompre des fichiers ou se répliquer. Un ransomware, quant à lui, cherche surtout à bloquer l’accès aux données ou à menacer leur publication pour obtenir une rançon.

La différence essentielle tient donc à l’intention du programme : le virus perturbe, espionne ou détruit, tandis que le ransomware fait pression pour vous forcer à payer.

Types de ransomware

Il existe plusieurs types de ransomware, qui diffèrent dans leur mode d’action et leur impact. Certains visent notamment les fichiers, d’autres s’attaquent à l’appareil lui-même, et d’autres encore misent sur l’intimidation ou le chantage à la divulgation.

Ransomware de chiffrement

Le ransomware de chiffrement est la forme la plus connue de rançongiciel. Ces programmes chiffrent les fichiers de la victime afin d’en rendre l’accès impossible sans clé de déchiffrement. Documents de travail, photos, vidéos, archives ou bases de données peuvent être touchés. Des programmes comme CryptoLocker ont largement contribué à faire connaître ce mode opératoire. C’est ce modèle qui a rendu le ransomware tristement célèbre, car il peut paralyser en quelques minutes l’activité d’un particulier comme celle d’une entreprise.

Ransomware de verrouillage d’écran

Le ransomware de verrouillage d’écran bloque l’accès à l’appareil lui-même. Au lieu de chiffrer d’abord les fichiers, il affiche un écran qui empêche l’utilisation normale de l’ordinateur ou du téléphone. La victime se retrouve face à un message intimidant, parfois présenté comme un avertissement officiel, avec des instructions de paiement.

Scareware

Le scareware repose avant tout sur la peur. Il se présente souvent comme une alerte de sécurité, une fausse alerte virus ou un message système inquiétant. Il affirme avoir détecté de graves problèmes sur votre appareil et vous pousse à payer pour une prétendue solution. Dans certains cas, il ne chiffre pas réellement les fichiers au départ, mais il peut servir de porte d’entrée à une attaque plus sérieuse.

Doxware (ou leakware)

Le doxware, aussi appelé leakware, menace de publier les données volées si la victime refuse de payer. Cette catégorie est particulièrement redoutable, car elle ne dépend pas uniquement du chiffrement des fichiers. Les cybercriminels peuvent chercher des documents confidentiels, des échanges privés, des données clients ou même des images personnelles.

Dans certains scénarios, les attaquants exploitent aussi la peur liée à la vie privée en prétendant avoir récupéré des contenus via la webcam de leurs victimes. Même lorsqu’il s’agit d’un bluff, cette technique de pression peut suffire à pousser certaines personnes à payer dans la précipitation.

Ransomware sur mobile

Le ransomware sur mobile vise les smartphones et les tablettes. Il peut prendre la forme d’une application piégée ou d’un fichier téléchargé hors des boutiques officielles. Selon les cas, il verrouille l’écran, affiche des messages persistants ou bloque l’accès à certaines données. Même si ce type d’attaque est souvent moins sophistiqué que sur ordinateur, il reste dangereux, notamment parce que nous stockons de plus en plus d’informations sensibles sur mobile.

Logiciel wiper

Le logiciel wiper (ou effaceur) n’est pas toujours un ransomware au sens strict, car son but peut être la destruction plutôt que l’extorsion. Il efface ou endommage irréversiblement les données. Certains attaquants l’utilisent pour faire pression, tandis que d’autres s’en servent comme outil de sabotage pur. Dans tous les cas, l’effet pour la victime peut être dévastateur.

Ransomware-as-a-Service (RaaS)

Le Ransomware-as-a-Service, ou RaaS, désigne un modèle criminel dans lequel les créateurs du ransomware louent leur outil à d’autres cybercriminels. En échange, ils prennent souvent une part des rançons versées. Ce système a facilité la multiplication des attaques, car il permet à des acteurs moins experts en technologie de lancer des attaques de ransomware en s’appuyant sur une infrastructure prête à l’emploi.

Conséquences des attaques de ransomware

Une attaque de ransomware ne se limite pas à quelques fichiers bloqués : elle peut entraîner des pertes financières, des interruptions d’activité, des problèmes juridiques et une forte détérioration de la confiance.

Les principales conséquences d’une attaque sont les suivantes :

  • Perte d’accès aux fichiers personnels ou professionnels ;
  • Interruption partielle ou totale de l’activité ;
  • Vol et divulgation de données sensibles ;
  • Pertes financières ;
  • Atteinte à la réputation ;
  • Stress et pression psychologique chez les victimes ;
  • Risques juridiques et réglementaires en cas de fuite de données ;
  • Suppression ou corruption définitive de certains fichiers ;
  • Propagation à d’autres appareils, voire à l’ensemble d’un réseau.

Quelles sont les cibles des attaques de ransomware ?

Les attaques de ransomware ciblent aujourd’hui presque tout le monde. Les particuliers restent exposés, notamment lorsqu’ils manquent de sauvegardes ou utilisent des appareils peu sécurisés. Les photos, documents administratifs ou comptes personnels des victimes peuvent devenir des leviers de chantage efficaces.

Les organisations constituent cependant des cibles de choix. Les entreprises, collectivités, établissements de santé, écoles et infrastructures critiques traitent souvent des données importantes et ne peuvent pas se permettre un arrêt prolongé. Plus la pression économique ou opérationnelle est forte, plus les attaquants espèrent obtenir une rançon rapidement.

Certaines attaques ne ciblent pas une victime précise au départ et se diffusent à grande échelle. D’autres, au contraire, sont très ciblées et visent des organisations jugées particulièrement rentables.

Exemples de rançongiciels

Plusieurs familles de ransomware ont marqué l’histoire récente de la cybersécurité. Certaines sont devenues célèbres par leur ampleur, d’autres par leur sophistication ou encore par les dégâts causés.

  • Le ransomware WannaCry est devenu mondialement connu pour sa propagation extrêmement rapide. Il a exploité une faille technique pour infecter un grand nombre d’appareils et perturber des organisations entières en très peu de temps.
  • Petya / NotPetya : Petya bloquait ou chiffrait des systèmes, tandis que NotPetya a surtout marqué par son caractère destructeur. Même s’il a d’abord été perçu comme un ransomware, ses effets ont davantage ressemblé à une opération de sabotage à grande échelle.
  • CryptoWall a largement contribué à populariser le chiffrement de fichiers comme méthode d’extorsion. Elle a touché de nombreuses victimes et marqué une étape importante dans l’évolution de ce type de menace.
  • GandCrab a été l’un des ransomwares les plus diffusés de son époque. Il est aussi connu pour avoir largement profité du modèle criminel reposant sur des affiliés, ce qui a accéléré sa diffusion.
  • REvil : également connu sous le nom de Sodinokibi, le ransomware REvil s’est illustré par des attaques contre des entreprises de grande taille. Il a fortement contribué à populariser la double extorsion, qui combine chiffrement et menace de fuite de données.
  • Dharma a touché de nombreuses petites et moyennes organisations, souvent en exploitant des accès à distance mal sécurisés. Ses nombreuses variantes ont compliqué sa détection et son suivi.
  • Locky s’est surtout propagé via des campagnes massives d’e-mails piégés. Il a montré à quel point une simple pièce jointe malveillante pouvait suffire à déclencher une attaque sérieuse.
  • Cerber a lui aussi été très répandu et a participé à l’essor du ransomware distribué via des partenaires criminels. Il a été conçu pour être largement déployé et monétisé.
  • Maze a joué un rôle majeur dans la montée de la double extorsion. En plus de chiffrer les fichiers, ses opérateurs menaçaient de publier les données volées pour accroître la pression sur les victimes.
  • NetWalker a ciblé diverses organisations en profitant de contextes où l’interruption d’activité pouvait avoir des conséquences lourdes. Son efficacité reposait sur la pression exercée sur des structures vulnérables.
  • DarkSide est associé à des attaques très médiatisées qui ont montré qu’un ransomware pouvait avoir des conséquences bien au-delà de l’informatique, notamment sur des secteurs critiques.
  • GoodWill s’est démarqué par une approche inhabituelle. Au lieu d’exiger uniquement de l’argent, il imposait parfois aux victimes des actions symboliques ou humiliantes, ce qui renforçait la pression psychologique.
  • EternalBlue n’est pas un ransomware à proprement parler, mais un exploit informatique permettant d’exploiter une faille de sécurité. Il est néanmoins directement lié à l’histoire des ransomwares, car il a notamment permis à des menaces comme WannaCry de se diffuser à très grande échelle.

Comment détecter un ransomware ?

Une détection précoce est cruciale pour limiter les dégâts. Plus une attaque de ransomware est repérée tôt, plus vous avez de chances d’isoler l’appareil touché, d’empêcher la propagation du logiciel et de réduire la perte de données.

Les principaux signes d’infection par un ransomware sont les suivants :

  • des fichiers qui ne s’ouvrent plus ;
  • des extensions de fichiers modifiées de manière inhabituelle ;
  • l’apparition d’une note de rançon sur l’écran ou dans les dossiers ;
  • un ralentissement brutal de l’appareil ;
  • des dossiers entiers devenus inaccessibles ;
  • la disparition ou la désactivation inattendue de certaines protections ;
  • des connexions ou activités inhabituelles sur le réseau ;
  • des sauvegardes locales qui deviennent elles aussi inaccessibles ;
  • des messages menaçants annonçant la publication de vos données ;
  • un écran verrouillé ou une demande de paiement pour récupérer l’accès.

Que faire en cas d’attaque de ransomware ?

Si vous soupçonnez une attaque de ransomware, il faut agir vite. La première priorité consiste à isoler l’appareil touché : déconnectez-le d’Internet et du réseau local afin de limiter toute propagation éventuelle vers d’autres équipements ou espaces partagés.

Évitez de payer la rançon : le paiement ne garantit ni la récupération des données, ni l’arrêt de la diffusion des informations volées. Il peut même encourager de nouvelles attaques. La bonne approche consiste à alerter immédiatement les responsables informatiques, les équipes de sécurité ou un spécialiste compétent, puis à vérifier l’existence de sauvegardes saines ou utiliser un outil de récupération dans la mesure du possible.

Dans un cadre professionnel, il peut aussi être nécessaire de documenter l’incident, de prévenir les parties concernées et d’évaluer les obligations légales en cas de fuite de données.

Comment se débarrasser d’un ransomware ?

Se débarrasser d’un ransomware dépend du type d’attaque et du niveau de compromission. Voici les étapes à suivre pour restaurer l’accès à votre appareil et son contenu :

  • Isolez immédiatement l’appareil infecté : si le ransomware est encore actif, la priorité est de l’empêcher de continuer à agir. Déconnectez l’appareil d’Internet et du réseau local pour limiter la propagation.
  • Lancez une analyse du système : utilisez un outil de sécurité fiable pour identifier le logiciel malveillant et supprimer les éléments suspects encore présents sur l’appareil.
  • Supprimez le ransomware : retirer le logiciel malveillant est indispensable, mais cela ne signifie pas forcément que les données chiffrées redeviendront accessibles.
  • Restaurez vos fichiers à partir de sauvegardes saines : si les données ont déjà été verrouillées, la récupération passe souvent par des sauvegardes propres, conservées séparément du système infecté.
  • Réinitialisez les accès compromis : après l’attaque, changez les mots de passe des comptes concernés et sécurisez de nouveau les accès qui ont pu être exposés.
  • Corrigez les failles exploitées : identifiez le point d’entrée utilisé par les attaquants, puis appliquez les correctifs nécessaires pour éviter une nouvelle compromission.
  • Mettez à jour vos systèmes et vos logiciels : après l’incident, vérifiez que tous les appareils et programmes concernés sont bien à jour afin de réduire le risque de réinfection.
  • Assurez-vous qu’aucune autre porte d’entrée ne reste ouverte : une attaque de ransomware peut s’accompagner d’autres compromissions. Il est donc important de vérifier que l’attaquant n’a pas laissé d’accès secondaire dans votre environnement.

Comment se protéger des rançongiciels ?

Pour réduire le risque d’être victime d’un ransomware, il est important d’adopter de bonnes pratiques de cybersécurité :

  • Faites des sauvegardes régulières de vos fichiers : conservez des copies de vos données importantes sur un support externe ou dans un espace séparé de votre appareil principal. En cas d’attaque, vous aurez plus de chances de récupérer vos fichiers sans céder au chantage.
  • Maintenez à jour vos appareils et vos logiciels : les mises à jour corrigent souvent des failles de sécurité exploitées par les cybercriminels pour diffuser un rançongiciel. Reporter ces correctifs peut laisser une porte ouverte aux attaques.
  • Restez vigilant face aux e-mails et liens suspects : de nombreuses attaques de ransomware commencent par un message frauduleux, une pièce jointe piégée ou un lien trompeur. Avant de cliquer, vérifiez toujours l’expéditeur, le contexte et la cohérence du message.
  • Téléchargez uniquement depuis des sources fiables : évitez les logiciels douteux, les fichiers piratés et les sites peu sûrs. Un téléchargement qui paraît anodin peut en réalité installer un ransomware à votre insu.
  • Utilisez des mots de passe forts et uniques : des identifiants faibles ou réutilisés facilitent les intrusions. En utilisant des mots de passe sécurisés, vous réduisez le risque qu’un attaquant accède à vos comptes ou à vos appareils.
  • Activez l’authentification multifacteur lorsque c’est possible : cette protection supplémentaire renforce la sécurité de l’accès à vos comptes, même si votre mot de passe a été compromis.
  • Utilisez un VPN : un VPN (réseau privé virtuel) chiffre votre activité en ligne, ce qui renforce votre confidentialité et réduit certains risques d’interception, notamment sur les réseaux Wi-Fi publics. En optant pour un VPN doté de fonctionnalités avancées, tel que NordVPN et son antivirus nouvelle génération, vous protégez tous vos appareils contre les risques d’intrusion par un programme malveillant.
  • Installez des outils de sécurité fiables : une bonne solution de protection peut aider à détecter des comportements suspects, bloquer des fichiers malveillants et limiter les risques d’infection par un ransomware.
  • Supprimez les logiciels inutiles ou inconnus : plus vous conservez d’applications non utilisées ou installées sans vérification, plus vous augmentez la surface d’exposition de votre appareil.
  • Sensibilisez les utilisateurs autour de vous : dans un foyer comme en entreprise, une seule erreur peut suffire à déclencher une attaque. Mieux comprendre les risques permet d’éviter de nombreux pièges.

En pratique, la meilleure protection contre un ransomware repose sur une combinaison de vigilance, de mises à jour régulières, de sauvegardes fiables et d’outils adaptés.

Gardez une longueur d'avance sur les menaces en ligne.

Protégez-vous contre les cyberattaques avec NordVPN.

Également disponible en: Dansk,Deutsch,English,Español Latinoamericano,Español,Suomi,עברית‏,Bahasa Indonesia,Italiano,日本語,‪한국어‬,Lietuvių,Nederlands,Norsk,Polski,Português Brasileiro,Português,Русский,Svenska,Türkçe,Українська,繁體中文 (台灣),简体中文.

Delphine Lacour | NordVPN

Delphine Lacour

Curieuse à propos des nouvelles technologies, Delphine Lacour s'intéresse aux usages des internautes au quotidien et aux problématiques de cybersécurité. Elle s'attache à partager un maximum de contenu pertinent pour partager cet intérêt avec le plus grand nombre.