Lors d'une opération judiciaire autorisée entre plusieurs pays, les forces de l'ordre ont démantelé une partie de l'infrastructure de contrôle qui alimentait certains des réseaux les plus puissants de dispositifs commis ces dernières années. Les autorités américaines ont annoncé que des serveurs de commande et de contrôle (C2) liés à des botnets Internet of Things (IoT) tels que AISURU, Kimwolf, JackSkid et Mossad ont été impliqués dans une action impliquant des partenaires au Canada et en Allemagne et de nombreuses entreprises du secteur privé. C'était une réponse coordonnée pour réduire l'approvisionnement qui a permis à ces réseaux de lancer des attaques massives; la recherche a bénéficié du soutien technique d'acteurs comme Akamai, Amazon Web Services, Cloudflare, Google, Lumen, entre autres, selon la déclaration officielle du ministère de la Justice.
L'ampleur du problème explique l'urgence de l'opération. Ces botnets ont été responsables d'attaques de déni de service distribué (DDoS) qui ont atteint une ampleur sans précédent : certains événements mesurés par les sociétés d'atténuation ont dépassé 30 térabits par seconde, et dans un cas précis Cloudflare a attribué un pic de 31,4 Tbps en novembre 2025 qui n'a duré que 35 secondes. Nous parlons des vagues de trafic qui peuvent saturer l'infrastructure Internet clé et laisser les fournisseurs et les organisations hors de service. Vous pouvez lire la note du ministère de la Justice sur l'opération ici : justice.gov et une couverture technique et journalistique de la recherche Krebs sur la sécurité.
Les acteurs derrière ces réseaux utilisaient principalement des dispositifs quotidiens : Décodeurs TV Android de marques chinoises à faible coût, enregistreurs vidéo numériques, caméras web et routeurs domestiques. En exploitant les vulnérabilités et les identifiants par défaut, les opérateurs ont réussi à convertir des millions de périphériques en « zombies » qui ont exécuté des ordres d'attaque. Selon les documents judiciaires, les variantes liées à l'ancienne Mirai sont venues à émettre des centaines de milliers de commandes d'attaque tout au long de leur activité. Le résultat a été un botnet mondial composé de millions d'appareils, qui a offert son pouvoir en tant que produit vendable dans un marché illicite.
L'un des nouveaux développements que les chercheurs soulignent comme une cause d'expansion rapide a été l'adoption de nouvelles techniques: Kimwolf, en particulier, a exploité ce qui a été décrit comme des réseaux de remplacement résidentiels, permettant aux agresseurs de pivoter à partir de dispositifs au sein des réseaux domestiques et d'éliminer les protections qui isolent habituellement les environnements domestiques de la numérisation de masse. Selon les mots des experts impliqués dans l'opération, c'était un changement de paradigme : au lieu de simplement chercher des équipements exposés au bord public de l'Internet, les attaquants sont recrutés dans les réseaux locaux eux-mêmes, avec tout ce que cela implique pour la résilience et l'anonymat du botnet. L'analyse de l'intervention technique et de l'impact d'Akamai est disponible sur son blog : Akamai.
La recherche sur les médias a également tenté d'identifier les personnes derrière certaines de ces opérations. Selon les articles de presse, au moins deux personnes sont des suspects potentiels : un enfant de 23 ans à Ottawa qui, selon la couverture, prétend ne pas utiliser depuis des années un pseudonyme lié au botnet et prétend avoir été supplanté, et un autre mineur en Allemagne. Dans les deux cas, les autorités n'ont pas signalé d'arrestations publiques à la clôture des communiqués, et les enquêtes sont en cours; vous pouvez consulter les travaux de suivi à Krebs sur la sécurité.
Au-delà de qui a appuyé sur les boutons, la réponse technique a été forte : les opérateurs de réseau et les sociétés de sécurité ont pris des mesures telles que des centaines de serveurs de commande nuls, le filtrage des déploiements et la coopération pour suivre l'infrastructure. Lumen Black Lotus Labs, par exemple, a signalé des efforts pour bloquer les serveurs C2 et les données opérationnelles sur la croissance quotidienne des victimes de botnet comme JackSkid et Mossad en mars 2026, chiffres qui illustrent la vitesse avec laquelle ces menaces peuvent s'étendre. En même temps, plusieurs fournisseurs ont aidé à fermer le levier avec lequel ces vagues de trafic ont été commandées. La note du ministère de la Justice détaille une partie de cette collaboration et les acteurs concernés.
Cet épisode a plusieurs leçons claires pour les gestionnaires d'appareils et les politiques publiques. Premièrement, l'énorme quantité d'équipements connectés et l'absence de mesures de sécurité minimales dans de nombreux modèles bon marché créent un stock d'élevage pour les réseaux de robots. Deuxièmement, la possibilité de louer ou de vendre l'accès à ces ressources à des tiers criminels multiplie les dommages potentiels : ce n'est pas seulement un opérateur qui attaque, mais un marché qui professionnalise et élargit l'offre criminelle. Troisièmement, la défense exige une coordination entre les entreprises, le renseignement privé et l'application de la loi pour neutraliser l'infrastructure technique et la chaîne économique qui soutient ces activités.
Si vous avez des appareils connectés à la maison ou si vous gérez un petit réseau, il convient de prendre des mesures concrètes : appliquer des mises à jour du firmware, modifier les mots de passe par défaut, désactiver les services inutiles et, si possible, séparer les appareils IoT dans un sous-réseau distinct pour limiter leur accès aux ressources critiques. Il est également recommandé de choisir les fabricants avec l'historique de support et activer les mécanismes de mise à jour automatique. Ces pratiques ne garantissent pas une immunité totale, mais réduisent considérablement la surface de l'attaque.
L'opération récente montre que, bien que des botnets massifs puissent devenir une menace mondiale, la collaboration internationale et publique-privée peut effectivement toucher leur infrastructure. Toutefois, Tant qu'il existera des dispositifs dangereux et des modèles d'affaires qui les priorisent, nous continuerons de voir des tentatives d'exploitation et d'éclosion de nouvelles familles de botnets.. Le maintien de la cybersécurité comme priorité dans la fabrication, la réglementation et l'utilisation quotidiennes est le seul moyen d'abaisser la température de ce problème.
Pour élargir l'information : Déclaration du ministère de la Justice sur l'intervention ( justice.gov), des enquêtes journalistiques et techniques Krebs sur la sécurité, rapports de recherche d'entreprise tels que Akamai et à propos de JackSkid dans Précipitations.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...