En bref

  • Le ministère américain de la Justice a démantelé les infrastructures C2 des botnets Aisuru, KimWolf, JackSkid et Mossad, responsables de plus de 300 000 commandes DDoS.
  • Ces botnets contrôlaient plus de 3 millions d'appareils IoT compromis (caméras, routeurs, DVR) et sont liés à l'attaque DDoS record de 31,4 Tbps enregistrée en novembre 2025.
  • L'opération internationale associe les États-Unis, l'Allemagne et le Canada, avec le soutien de Cloudflare, Akamai, AWS, Google et Oracle.

Ce qui s'est passé

Les autorités américaines, allemandes et canadiennes ont mené une opération conjointe pour neutraliser les serveurs de commande et de contrôle (C2) de quatre botnets majeurs : Aisuru, KimWolf, JackSkid et Mossad. Selon le DoJ, ces réseaux malveillants avaient compromis plus de 3 millions d'appareils connectés, principalement des caméras de surveillance, des enregistreurs vidéo numériques (DVR) et des routeurs Wi-Fi domestiques.

Le botnet Aisuru a émis à lui seul plus de 200 000 commandes d'attaques DDoS, tandis que KimWolf en comptabilisait 25 000. JackSkid et Mossad, moins connus, ont respectivement lancé 90 000 et 1 000 commandes. En février 2026, Cloudflare avait attribué à Aisuru/KimWolf l'attaque DDoS la plus puissante jamais enregistrée : un pic de 31,4 Tbps qui n'a duré que 35 secondes en novembre 2025.

L'enquête a mobilisé un consortium impressionnant d'acteurs privés, dont Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Team Cymru et QiAnXin XLab. Cette collaboration public-privé illustre la montée en puissance des partenariats pour lutter contre les menaces DDoS à grande échelle, comme le souligne le département de la Justice.

Pourquoi c'est important

Les attaques DDoS de cette ampleur représentent une menace directe pour les infrastructures critiques, les fournisseurs cloud et les entreprises dépendantes du numérique. Le seuil des 31 Tbps, franchi pour la première fois, démontre que les botnets IoT ont atteint une capacité de nuisance sans précédent. Avec des millions d'objets connectés mal sécurisés déployés chaque année, la surface d'attaque ne cesse de croître.

Pour les entreprises françaises, cette affaire rappelle l'importance de sécuriser les équipements réseau et de surveiller le trafic anormal sur les réseaux internes. Les appareils IoT en fin de vie, souvent dépourvus de correctifs, constituent des cibles privilégiées pour les opérateurs de botnets, comme l'a montré l'exploitation récente de routeurs D-Link obsolètes.

Ce qu'il faut retenir

  • Plus de 3 millions d'appareils IoT compromis : mettez à jour le firmware de vos équipements connectés et désactivez ceux en fin de support.
  • Le record DDoS de 31,4 Tbps souligne la nécessité de solutions anti-DDoS robustes pour toute infrastructure exposée sur Internet.
  • La coopération internationale et public-privé est désormais indispensable face à des botnets de cette envergure : surveillez les bulletins d'alerte du CERT-FR et de l'ANSSI.

Comment protéger ses appareils IoT contre l'enrôlement dans un botnet ?

Changez les identifiants par défaut de tous vos appareils connectés, appliquez systématiquement les mises à jour firmware, segmentez votre réseau pour isoler les équipements IoT, et remplacez les appareils en fin de vie qui ne reçoivent plus de correctifs de sécurité. Un audit régulier du trafic réseau permet aussi de détecter les communications suspectes vers des serveurs C2.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact