En bref

  • Google, le FBI et Lumen Technologies ont démantelé le réseau proxy NetNut le 3 juillet 2026, coupant 2 millions de smart TVs et routeurs infectés d'une infrastructure criminelle mondiale.
  • Le service, commercialisé par la société israélienne Alarum Technologies (NASDAQ : ALAR), était utilisé par 316 groupes distincts — criminels et espions — pour masquer des attaques par password spraying et des communications C2 de malwares.
  • Les organisations doivent intégrer les IoC publiés par Google TAG, auditer leurs appareils IoT, et renforcer la détection comportementale sur leurs portails d'authentification exposés.

Google et le FBI démantèlent l'un des plus grands botnets proxy résidentiels du monde

Le 3 juillet 2026, Google a annoncé en coordination avec le FBI, Lumen Technologies et plusieurs partenaires industriels le démantèlement opérationnel de NetNut, l'un des plus vastes réseaux proxy résidentiels jamais documentés. L'opération a permis de couper 2 millions d'appareils — principalement des téléviseurs connectés et des routeurs domestiques — d'une infrastructure d'anonymisation que 316 groupes criminels et d'espionnage utilisaient chaque semaine pour masquer leurs activités malveillantes dans le monde entier.

NetNut fonctionnait sur un principe désormais bien documenté dans le monde de la cybercriminalité : l'exploitation silencieuse d'appareils grand public pour constituer un pool de relais. Quand un attaquant souhaitait effectuer une tentative de connexion frauduleuse sur un service bancaire, envoyer du spam ou piloter un malware à distance, il ne le faisait pas depuis son propre équipement ou depuis un serveur loué facilement traçable — il passait par des milliers d'adresses IP résidentielles « propres », celles d'internautes ordinaires dont la TV connectée ou le routeur avait été discrètement infecté. Pour les systèmes de détection basés sur la réputation IP, ces requêtes semblaient provenir d'utilisateurs lambda, non d'attaquants coordonnés.

Selon le Threat Intelligence Group de Google (TAG), les analystes ont observé pas moins de 316 clusters de menaces distincts — mêlant groupes cybercriminels à motivation financière et acteurs d'espionnage étatiques — utilisant des nœuds de sortie attribués au réseau NetNut au cours d'une seule semaine de juin 2026. L'usage le plus fréquemment documenté était le password spraying : les attaquants distribuaient leurs tentatives de connexion sur des milliers d'adresses IP différentes pour éviter les mécanismes de détection basés sur le volume de requêtes par source. Une technique simple mais dévastatrice lorsqu'elle s'appuie sur des millions d'adresses IP résidentielles présumées légitimes.

L'aspect le plus troublant du dossier NetNut est la nature semi-légale du service. NetNut était commercialisé comme un outil légitime de proxy résidentiel par Alarum Technologies, une société basée en Israël et cotée au NASDAQ sous le symbole ALAR. Alarum présentait son offre comme destinée aux entreprises souhaitant effectuer du web scraping, vérifier la localisation de leurs publicités en ligne ou tester la disponibilité de leurs services depuis différentes régions géographiques. Un cas d'usage en apparence légal, mais qui masquait une réalité bien plus sombre : une partie significative de l'infrastructure était alimentée par des appareils infectés à l'insu de leurs propriétaires, et la clientèle incluait massivement des acteurs malveillants prêts à payer pour accéder à des IP résidentielles non marquées.

L'opération de démantèlement s'est déroulée sur plusieurs fronts simultanément. Du côté de Google : désactivation des comptes d'infrastructure de commande et de contrôle (C2), déploiement de mises à jour Play Protect pour identifier et bloquer les applications Android malveillantes responsables des infections, et publication d'indicateurs de compromission partagés avec l'ensemble de l'industrie. Du côté du FBI : saisie de plusieurs centaines de domaines liés à l'infrastructure NetNut et à un réseau connexe baptisé « Popa Botnet ». Lumen Technologies a de son côté bloqué le trafic réseau associé à l'infrastructure au niveau de ses routeurs de cœur de réseau, limitant significativement la capacité du botnet à se reconstituer.

Les investigations ont révélé que les appareils infectés l'étaient principalement via trois vecteurs : des applications Android malveillantes disponibles en dehors du Play Store officiel, des firmwares de routeurs compromis distribués via des sites de téléchargement tiers, et des mises à jour de logiciels embarqués de smart TVs contenant des backdoors. Dans certains cas, des applications apparemment légitimes — jeux mobiles, utilitaires de streaming, optimiseurs de batterie — contenaient du code malveillant agissant comme agent proxy en arrière-plan, consommant la bande passante et l'adresse IP de l'appareil à l'insu de son propriétaire.

Krebs on Security, qui a couvert l'opération en détail, souligne que cette affaire met en lumière la problématique persistante des proxy résidentiels commerciaux. Des dizaines de services similaires opèrent dans une zone grise juridique, certains s'approvisionnant explicitement en adresses IP via des partenariats avec des développeurs d'applications rémunérés pour intégrer des kits SDK transformant leurs utilisateurs en nœuds proxy. Certains de ces SDK sont mentionnés dans les conditions d'utilisation, d'autres non. Le démantèlement de NetNut représente une victoire tactique, mais pas la résolution du problème structurel que représente cette économie souterraine de l'IP résidentielle.

Côté judiciaire, aucune arrestation n'a été annoncée à ce stade. Le FBI et le DOJ ont indiqué que l'enquête se poursuit et que des charges pourraient être déposées ultérieurement. La nature transnationale de l'affaire — une société israélienne cotée en bourse, des victimes dans le monde entier et des clients criminels opérant depuis de multiples juridictions — complexifie les poursuites. Alarum Technologies n'avait pas commenté publiquement l'opération au moment de la publication de cet article.

Les réseaux proxy résidentiels : un angle mort persistant de la cyberdéfense

L'affaire NetNut illustre avec acuité un angle mort persistant de la cybersécurité d'entreprise : la confiance accordée aux adresses IP résidentielles. De nombreux systèmes de protection — solutions anti-fraude, WAF, outils de détection d'intrusion — intègrent des mécanismes de réputation IP qui distinguent les serveurs d'hébergement et VPN connus des adresses résidentielles « normales ». Cette distinction est devenue largement illusoire dès lors que des millions d'adresses résidentielles peuvent être louées à la demande pour quelques centimes par requête via des services comme NetNut.

Pour les équipes SOC, le démantèlement de NetNut ne signifie pas la disparition du risque. Des services similaires — certains déjà bien établis, d'autres en cours de constitution — continuent de proposer des capacités équivalentes. Des chercheurs de SANS Institute et de Spamhaus documentent régulièrement l'émergence de nouveaux botnets proxy. Les indicateurs de compromission liés à NetNut, publiés par Google TAG, doivent être intégrés immédiatement dans les outils de threat intelligence, mais ils ne couvrent que le réseau spécifiquement démantelé.

Pour les particuliers et les PME, l'enseignement principal de cette affaire est la nécessité d'une hygiène numérique étendue aux appareils non traditionnels. La surface d'attaque ne se limite plus aux ordinateurs et smartphones : les smart TVs, routeurs, NAS et objets IoT constituent désormais un terrain fertile pour les botnets. Les recommandations pratiques incluent : n'installer les applications TV que depuis les stores officiels du fabricant, vérifier régulièrement les mises à jour firmware des routeurs, segmenter les appareils IoT dans un VLAN dédié isolé du réseau principal, et utiliser des solutions de sécurité réseau capables d'analyser le trafic sortant anormal.

Pour les entreprises, le risque est bidirectionnel : leurs propres appareils peuvent être compromis et utilisés comme nœuds proxy, mais elles sont aussi potentiellement victimes des attaquants qui les utilisent. Les campagnes de password spraying orchestrées via des réseaux comme NetNut ciblent directement les portails d'authentification exposés — VPN, OWA, portails SaaS. La mise en place de l'authentification sans mot de passe (passkeys/FIDO2) et le monitoring comportemental des tentatives de connexion restent les défenses les plus efficaces contre ce vecteur d'attaque désormais industrialisé.

Ce qu'il faut retenir

  • NetNut, un botnet de 2 millions de smart TVs et routeurs utilisé par 316 groupes criminels et d'espionnage, a été démantelé le 3 juillet 2026 par Google, le FBI et Lumen Technologies.
  • Le service était commercialisé semi-légalement par Alarum Technologies (NASDAQ : ALAR), masquant une infrastructure massivement exploitée pour le password spraying et le command & control de malwares.
  • Les équipes sécurité doivent intégrer les IoC publiés par Google TAG, auditer leurs appareils IoT, et renforcer leurs défenses contre le password spraying sur tous les portails d'authentification exposés.

Comment savoir si mon appareil (TV connectée, routeur) faisait partie du botnet NetNut ?

Plusieurs signes peuvent indiquer une compromission : une consommation inhabituellement élevée de bande passante, des ralentissements inexpliques ou des connexions réseau sortantes vers des IP inconnues (visible dans les logs de votre routeur). Pour les appareils Android TV, Google Play Protect intègre désormais des signatures de détection liées à cette campagne. Pour les routeurs, comparez le firmware installé avec la version officielle disponible sur le site du fabricant, et effectuez une réinitialisation d'usine si vous constatez une divergence. Les IoC publiés par Google TAG sont disponibles dans les principales plateformes de threat intelligence comme VirusTotal et AlienVault OTX.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact