TL;DR : L’essentiel
- Une coalition policière internationale a neutralisé l’infrastructure de commande de quatre réseaux d’objets connectés malveillants, privant les cybercriminels du contrôle de plus de trois millions de routeurs et caméras piratés.
- Les botnets baptisés Aisuru, Kimwolf, JackSkid et Mossad ont généré des attaques sans précédent, atteignant le débit record de 31 terabits par seconde pour paralyser des infrastructures gouvernementales et militaires.
- Les opérateurs monétisaient ces réseaux via un modèle de location de services d’attaque ou par extorsion financière, ciblant notamment des équipements Android comme des boîtiers TV et des enregistreurs vidéo.
- Malgré la saisie des serveurs de commande par les autorités, les millions d’appareils domestiques restent infectés, illustrant la vulnérabilité persistante des objets connectés dotés de mots de passe d’usine faibles.
Le ministère de la Justice des États-Unis (DOJ), soutenu par les autorités canadiennes et allemandes, a récemment porté un coup d’arrêt majeur à une infrastructure cybercriminelle d’une ampleur inédite. En saisissant des domaines et des serveurs virtuels, l’opération a désactivé le « cerveau » de quatre réseaux d’objets connectés (ou « botnets ») qui avaient asservi plus de trois millions d’appareils à travers le globe. Cette action cible spécifiquement les attaques par déni de service distribué (DDoS), une technique qui consiste à envoyer des millions de connexions simultanées vers un site pour le faire « sauter », une tendance qui a vu la criminalité en ligne bondir d’environ 245 % depuis le début du conflit en Iran.
DDoS : une puissance de 30 Tbps menaçant les infrastructures
La puissance de frappe de ces réseaux a atteint des sommets techniques alarmants, avec des flux de données dépassant les 30 terabits par seconde. Comme le souligne une analyse de The Register, le botnet Aisuru s’est illustré par des offensives capables de paralyser n’importe quelle cible, y compris des systèmes rattachés au ministère de la Défense américain. Ces attaques reposent sur la coordination de millions d’appareils du quotidien, tels que des caméras de surveillance ou des enregistreurs vidéo numériques, transformés en « machines zombies » qui obéissent aux ordres des pirates à l’insu de leurs propriétaires.
Cette puissance phénoménale est mise en perspective par le spécialiste Cloudflare, qui compare le pic de trafic du groupe Aisuru à l’équivalent des populations entières du Royaume-Uni, d’Allemagne et d’Espagne saisissant simultanément une adresse web sur leur clavier et appuyant sur « Entrée » au même moment. Ces assauts ne se contentent pas de perturber la navigation ; ils servent de levier pour des tentatives d’extorsion. Selon les dossiers judiciaires, certains administrateurs exigeaient des rançons se chiffrant en dizaines de milliers de dollars pour cesser de bombarder numériquement leurs victimes.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Botnets IoT : l’infiltration inédite des réseaux domestiques
L’évolution technique la plus inquiétante provient du botnet Kimwolf, une variante d’Aisuru apparue fin 2024. Contrairement aux réseaux traditionnels qui cherchent des failles sur l’internet public, Kimwolf a exploité un nouveau vecteur : l’utilisation des connexions internet de particuliers comme « relais ». D’après les informations détaillées par The Hacker News, cette méthode permet de s’infiltrer au sein des réseaux locaux de nos maisons, qui sont pourtant protégés par les boîtiers internet (ou pare-feu). Le botnet a ainsi pu recruter plus de deux millions d’appareils Android, principalement des boîtiers TV de streaming de marques peu connues et des décodeurs.
L’infection repose sur l’exploitation du « pont de débogage Android » (ou ADB), une porte d’entrée technique normalement réservée aux réparateurs, mais souvent laissée ouverte par erreur sur ces équipements à bas coût. Des entreprises de sécurité comme Synthient ont identifié cette faille, permettant de freiner la propagation, mais la technique a déjà été copiée par les réseaux JackSkid et Mossad. Ces derniers parviennent à capturer des appareils cachés derrière des protections privées, rendant la détection et le nettoyage de ces infections domestiques particulièrement complexes pour les fournisseurs d’accès à internet.
Action du DOJ : une coopération mondiale contre le cybercrime
L’enquête a permis d’identifier les acteurs présumés derrière ces infrastructures de « cybercrime à la demande », où l’accès aux machines infectées était loué à d’autres délinquants pour commettre leurs méfaits. Comme le rapporte le média KrebsOnSecurity, les cerveaux de ces opérations seraient particulièrement jeunes. Un opérateur canadien de 23 ans habitant à Ottawa a été identifié comme l’un des piliers du réseau Kimwolf, tandis qu’un autre suspect clé ne serait âgé que de 15 ans et résiderait en Allemagne. Cette précocité souligne la facilité d’accès aux outils de piratage de masse pour des individus isolés mais techniquement agiles.
Le succès de cette neutralisation repose à nouveau sur une coopération internationale entre les polices et des géants de la tech comme Amazon Web Services, Google et Akamai. Si les serveurs de contrôle sont désormais déconnectés, le problème de fond demeure : des millions d’objets connectés vulnérables restent branchés chez les particuliers. Sans une mise à jour logicielle ou un changement des mots de passe d’usine, ces appareils constituent un réservoir de recrutement immédiat pour la prochaine vague de créateurs de réseaux malveillants, prêts pour de nouveaux cycles d’attaques mondiales 🙁
Pour approfondir le sujet
Tout savoir sur les 5 types d'attaque DDoS
Plusieurs types d'attaques de déni de service (DDoS) coexistent et peuvent combiner leurs techniques et leurs vecteurs d'attaque Lire la suite
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
