Les autorités néerlandaises démantèlent un botnet lié à plus de 17 millions d’appareils

Un vaste botnet lié aux proxies résidentiels mis hors ligne aux Pays-Bas

Les autorités néerlandaises disent avoir démantelé un botnet composé de plus de 17 millions d’appareils et géré par 200 serveurs, ce qui en fait l’un des démantèlements d’infrastructure les plus marquants signalés cette année. L’opération a impliqué la police néerlandaise, le Centre national de cybersécurité et un hébergeur qui a mis le réseau hors ligne après que les enquêteurs ont conclu qu’il était utilisé à des fins criminelles.

L’ampleur seule rend l’action remarquable. Un botnet de cette taille peut fournir une base puissante à la cybercriminalité, que ce soit par l’acheminement anonymisé du trafic, des opérations de déni de service, le soutien au phishing ou l’abus à grande échelle de services en ligne. Dans ce cas, le reportage a relié le réseau à une activité de proxies résidentiels, un secteur qui peut brouiller la frontière entre trafic de consommation apparemment ordinaire et opérations malveillantes.

Pourquoi l’abus des proxies résidentiels est si difficile à contrer

Les services de proxy résidentiel acheminent le trafic Internet via des appareils tiers, donnant l’impression que ce trafic provient de connexions domestiques ou mobiles ordinaires. Cela rend la détection plus difficile qu’avec une infrastructure de centre de données, car le trafic peut ressembler à un comportement normal d’utilisateur plutôt qu’à une activité manifestement automatisée.

Les autorités et les chercheurs en sécurité avertissent depuis des années que les proxies résidentiels peuvent être utilisés à la fois à des fins légitimes et abusives. Les cas les plus préoccupants impliquent des appareils intégrés sans consentement significatif de l’utilisateur ou par compromission, créant un ensemble de points d’accès capables de masquer la cybercriminalité derrière des adresses IP d’apparence fiable.

Cela semble faire partie de la préoccupation dans l’affaire néerlandaise. Le Centre national de cybersécurité a averti séparément que les proxies résidentiels peuvent rendre l’atténuation beaucoup plus difficile, car les attaques peuvent être lancées via des schémas de trafic qui paraissent locaux et difficiles à distinguer d’une utilisation normale.

Comment le démantèlement s’est déroulé

Selon le texte source fourni, l’action a commencé après qu’un chercheur en sécurité a signalé le réseau aux autorités. La police a ensuite saisi des serveurs du botnet chez un hébergeur pour enquête, et le fournisseur a mis le botnet hors ligne. Cette séquence montre à quel point l’application moderne de la loi en matière de cybersécurité dépend de plus en plus de la coopération entre chercheurs indépendants, autorités publiques et entreprises d’infrastructure.

L’infrastructure d’hébergement était située aux Pays-Bas, ce qui a donné aux autorités locales un levier opérationnel concret. Dans de nombreuses affaires mondiales de botnets, les forces de l’ordre peuvent comprendre la menace mais ne pas avoir compétence sur l’infrastructure de commande. Ici, au moins une partie de la couche de contrôle critique du réseau était suffisamment accessible pour être perturbée directement.

Des liens avec un écosystème de proxies plus large

Des reportages cités dans le matériau source ont relié le botnet à ASOCKS, une entreprise basée en Russie connue pour ses services de proxy résidentiel, bien qu’Ars Technica ait indiqué ne pas pouvoir confirmer indépendamment ce lien. Cette distinction est importante. Le lien opérationnel peut être plausible et cohérent avec des recherches de sécurité antérieures, mais il est présenté dans le reportage comme une connexion rapportée, et non comme un fait vérifié indépendamment.

Ce qui est plus clair, c’est le schéma général. En 2024, la société de sécurité Human a relié un botnet appelé Proxylib au même réseau de proxies et a indiqué que des applications mobiles sur Google Play avaient enrôlé jusqu’à 190 000 appareils sans l’approbation des utilisateurs. Cet historique suggère un problème récurrent où l’infrastructure de proxy peut tirer sa capacité de vastes ensembles d’appareils dont les propriétaires ne comprennent peut-être pas pleinement l’usage qui en est fait.

Pourquoi c’est important maintenant

Au-delà du chiffre principal, le démantèlement rappelle que l’infrastructure de la cybercriminalité est profondément intégrée à la connectivité quotidienne. Un botnet couvrant des millions d’appareils n’est plus seulement une affaire de serveurs infectés dans des centres de données obscurs. Il peut impliquer des téléphones grand public, des connexions domestiques et des écosystèmes logiciels qui, en surface, semblent ordinaires.

Pour les défenseurs, cela signifie que la surveillance doit tenir compte d’un trafic d’apparence fiable. Pour les boutiques d’applications et les plateformes logicielles, cela renforce la nécessité d’examiner les applications susceptibles de recruter discrètement des appareils pour des activités de proxy ou de botnet. Et pour les décideurs publics, cela montre pourquoi l’abus des proxies résidentiels devient un enjeu stratégique plus large de cybersécurité, et non un simple problème technique de niche.

• Les autorités néerlandaises disent avoir démantelé un botnet impliquant plus de 17 millions d’appareils et 200 serveurs.
• Le réseau aurait été lié à une activité de proxy résidentiel, qui peut masquer la cybercriminalité derrière un trafic d’apparence normale.
• L’opération a reposé sur la coopération entre chercheurs, police, le NCSC et un hébergeur.

Cet article est basé sur un reportage d’Ars Technica. Lire l’article original.