La bataille entre les défenseurs et les agresseurs Internet est depuis longtemps une affaire de fermeture de ports ou de mise à jour des patchs. Maintenant, une source de problèmes qui passe inaperçue pour de nombreuses organisations sont Proxies résidentielles: réseaux d'adresses IP qui semblent appartenir à des foyers et que les criminels utilisent pour camoufler des activités malveillantes. Un récent rapport de GreyNoise, basé sur l'analyse de milliards de sessions, se concentre une fois de plus sur la difficulté pour les systèmes de réputation de IP de distinguer un utilisateur légitime d'un attaquant qui traverse "une connexion domestique". Plus d'informations dans le rapport de GreyBoise : Armée invisible : abus de pouvoir résidentiel.
Les chiffres de l'étude sont éloquents: GreyBoise a examiné un énorme volume de séances dirigées vers le bord du réseau sur trois mois et a constaté qu'environ 39 % de cette activité provenait de gammes qui semblent être des connexions résidentielles, c'est-à-dire des procurations résidentielles. Mais voici ce qui est inquiétant: la plupart de ces IP n'apparaissent pas dans la réputation traditionnelle. En particulier, l'étude indique qu'un pourcentage élevé - de l'ordre de 78% dans l'échantillonnage - reste « invisible » pour les listes que de nombreuses équipes de sécurité utilisent pour bloquer le trafic suspect.
Pourquoi ? L'explication est pratique et, malheureusement, efficace pour ceux qui attaquent : les IP résidentiels utilisés dans ces opérations sont souvent très éphémères, rarement utilisés et rapidement remplacés par d'autres. Cette rotation structurée empêche les systèmes qui dépendent des antécédents d'abus accumulés de les cataloguer comme malveillant avant qu'ils aient déjà été utilisés et jetés. GreyBoise a constaté que la grande majorité de ces IP résidentiels associés à une activité malveillante fonctionnent moins d'un mois; seule une fraction minimale demeure en action pendant plusieurs mois.
Outre la brièveté de ces connexions, la diversité géographique et des fournisseurs complique encore le problème. Les IP observés provenaient de centaines de fournisseurs d'accès à Internet différents - ce qui rend difficile le blocage par la NSA sans nuire aux utilisateurs légitimes - et il y avait des concentrations dans des pays comme la Chine, l'Inde et le Brésil. Un détail curieux qui soutient l'idée que beaucoup de ces PI sont vraiment des appareils personnels ou domestiques est que leur activité a un rythme marqué par les modèles de sommeil humain: le volume est significativement faible pendant la nuit locale, lorsque les gens éteindre leur équipement.
Un autre facteur qui les rend furtifs est le but principal de leur utilisation. Les données montrent que la plupart du trafic de ces directions est destiné à la reconnaissance du réseau et à la numérisation, pas directement à l'exécution des exploits. Seul un petit pourcentage se termine par des tentatives d'exploitation efficaces; cependant, ce travail de cartographie préliminaire permet aux attaquants d'identifier des cibles valides et de concevoir des attaques subséquentes. Parmi les activités observées, il y a eu des scans massifs, des tentatives d'accès aux pages de connexion VPN d'affaires et des cas spécifiques de remplissage d'identifications ou d'itinéraires traversants.
L'architecture qui génère ce trafic a deux sources principales, selon les chercheurs: d'une part, les botnets se concentrent sur les appareils IoT, qui récompensent les ressources d'une multitude d'équipements domestiques engagés; d'autre part, les équipements d'utilisateurs infectés ou enrôlés par les SDK dans des applications gratuites - comme les clients VPN, les bloqueurs d'annonces ou d'autres utilitaires - qui, en échange de services ou de monétisation, convertissent ces appareils en nœuds qui vendent de la bande passante et servent le trafic tiers.
Un exemple concret de résilience des écosystèmes est ce qui est arrivé à l'un des plus grands réseaux de proxies résidentielles (mentionnés dans le rapport). L'intervention coordonnée des équipes de renseignement sur les menaces a permis de réduire temporairement leur réseau d'adresses d'un pourcentage important, mais l'espace laissé a été rapidement rempli de trafic depuis des centres de données ou d'autres sources : la demande est absorbée et la capacité est rapidement rétablie. Cela montre que les solutions axées sur la suppression d'une pièce isolée éliminent rarement la menace de manière définitive.
Face à ce scénario, les experts de GreyBoise et de l'industrie proposent de repenser la dépendance à l'égard des listes de réputation de la propriété intellectuelle en tant que pilier principal de la défense. Au lieu de cela, pour concentrer la détection sur les modèles de comportement qui survivent à la rotation des adresses: par exemple, identifier des séquences d'enquêtes qui suivent le même modèle même si elles proviennent de différentes IP, bloquer des protocoles clairement inappropriés pour les espaces des FAI (comme exposer SMB à Internet), et recueillir des empreintes de périphérique ou de connexion qui ne changent pas lorsque l'IP le fait.
Pour les équipes de sécurité et les responsables informatiques, cela comporte plusieurs conséquences pratiques. Il ne s'agit pas d'éliminer complètement l'utilisation de listes de réputation - elles sont encore utiles - mais de les combiner avec la télémétrie, la corrélation temporelle et l'analyse du comportement heuristique pour détecter le même acteur malgré la rotation des IP. Il est également essentiel de protéger les points d'entrée critiques, d'appliquer une forte authentification et de surveiller l'accès défaillant ou les modèles inhabituels d'enquête. En termes simples : vous devez regarder moins l'étiquette (l'IP) et plus le comportement.
Le défi technique et opérationnel est pertinent : surveiller et corréler de grands volumes d'événements, extraire des signaux robustes sans générer de faux positifs et, en même temps, ne pas interrompre l'expérience des utilisateurs légitimes. Des outils tels que des pare-feu d'application Web avec des capacités de détection basées sur le comportement, des systèmes de prévention des intrusions qui intègrent la télémétrie réseau et des mécanismes avancés d'empreintes digitales gagnent en importance dans ce contexte. Pour ceux qui veulent mieux comprendre la logique du problème et comment les robots et le trafic automatisé sont classifiés, il est utile de lire des analyses divulgatives comme Cloudflare sur ce qu'est un robot et pourquoi pas tous se comporter de la même manière: Qu'est-ce qu'un bot ? (Cloudflare).
Si quelque chose rend le rapport GreyBoise clair et la couverture qu'il reçoit est que l'économie et la technique derrière les procurations résidentielles évoluent plus rapidement que de nombreuses défenses traditionnelles. Il ne suffit plus de bloquer les adresses suspectes : une vision plus globale est nécessaire, où l'observation du comportement, la coopération entre les fournisseurs de renseignements et la mise en place de contrôles d'accès solides font la différence. Pour ceux qui souhaitent consulter les données originales et les recommandations techniques, le rapport complet de GreyBoise est disponible ici: Armée invisible : abus de pouvoir résidentiel et la presse spécialisée a recueilli les conclusions, par exemple dans Ordinateur de brouillage.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...