En bref

  • La police nationale néerlandaise et le NCSC ont démantelé le 28 mai 2026 le botnet Asocks, un réseau de 17 millions d'appareils infectés opérant comme service de proxy résidentiel illégal.
  • 200 serveurs de commandement et contrôle hébergés aux Pays-Bas ont été saisis, coupant la connexion entre les opérateurs criminels et des millions de routeurs, caméras et smartphones compromis dans le monde entier.
  • Les particuliers et entreprises dont les équipements réseau seraient compromis doivent effectuer un factory reset, mettre à jour les firmwares et changer tous les identifiants par défaut.

Opération Asocks : 200 serveurs saisis, 17 millions d'appareils libérés d'un réseau proxy criminel

Le 28 mai 2026, la brigade cybercriminalité de l'unité de police de La Haye a mené, en coopération avec le Centre national de cybersécurité des Pays-Bas (NCSC), l'une des opérations de démantèlement de botnet les plus significatives en Europe ces dernières années. La cible était le réseau Asocks, un botnet de type proxy résidentiel comptant 17 millions d'appareils compromis dans le monde entier, dont l'intégralité de l'infrastructure de commandement et contrôle était hébergée sur le sol néerlandais.

L'opération s'est concrétisée par la saisie physique de 200 serveurs C2 (command-and-control) chez un prestataire d'hébergement local aux Pays-Bas. Une fois les machines saisies, le prestataire a mis l'infrastructure hors ligne, coupant instantanément la connexion entre les opérateurs du botnet et leurs millions d'appareils esclaves disséminés sur tous les continents. L'annonce conjointe des autorités néerlandaises a été publiée le même jour, précisant que l'enquête criminelle se poursuit pour identifier les individus derrière le service Asocks.

Le parc d'appareils infectés par le réseau Asocks était remarquable par sa diversité. Il comprenait des ordinateurs personnels sous Windows et Linux, des routeurs domestiques et d'entreprise de nombreuses marques, des smartphones, des tablettes, et une proportion importante d'appareils IoT : caméras de surveillance IP, systèmes domotiques, NAS de particuliers et de petites entreprises, et divers appareils industriels légers insuffisamment sécurisés. Cette hétérogénéité était précisément l'atout commercial d'Asocks : des adresses IP issues de réseaux résidentiels légitimes dans des dizaines de pays sont exponentiellement plus difficiles à bloquer ou identifier comme malveillantes que des adresses provenant de datacenters.

Le modèle économique d'Asocks était celui du proxy-as-a-service criminel. Des cybercriminels, allant de groupes de fraude en ligne à des opérateurs de campagnes d'espionnage, payaient un abonnement ou à l'acte pour accéder à un pool d'adresses IP résidentielles légitimes correspondant aux connexions Internet des victimes à leur insu. Ces connexions détournées permettaient de lancer des attaques diverses tout en masquant la véritable origine du trafic malveillant derrière des adresses IP d'utilisateurs ordinaires. Les propriétaires d'un routeur ou d'une caméra infectée n'avaient aucune idée que leur bande passante et leur adresse IP étaient revendues sur un marché souterrain, potentiellement utilisées pour pirater des entreprises ou des institutions gouvernementales.

Les cas d'usage identifiés par les enquêteurs du NCSC et de la brigade cybercrime de La Haye comprennent des campagnes de déni de service distribué (DDoS) contre des sites institutionnels et commerciaux, des campagnes de phishing et de spam massif exploitant la réputation des adresses IP résidentielles pour contourner les filtres anti-spam, des attaques de credential stuffing contre des portails bancaires et des services en ligne, et la distribution de logiciels malveillants via des tunnels de communication rendant le trafic quasiment indiscernable du trafic légitime. Selon les analyses publiées par The Register et CyberNews, le réseau Asocks était actif depuis au moins 2023 et avait progressivement étendu son parc en exploitant des vulnérabilités connues dans des équipements réseau grand public non mis à jour.

Les mécanismes d'infection utilisés par Asocks reposaient sur des techniques bien documentées mais difficiles à contrer à l'échelle résidentielle. L'exploitation de ports d'administration exposés (Telnet, SSH) avec des identifiants par défaut jamais changés représentait le vecteur principal. Des vulnérabilités non corrigées dans des firmwares de routeurs obsolètes constituaient un autre vecteur majeur. La propagation se faisait ensuite via des composants vers capables de scanner et d'infecter automatiquement des appareils voisins sur les mêmes plages d'adresses IP résidentielles, permettant une croissance organique du réseau sans intervention humaine continue.

Une fois infecté, un appareil s'enregistrait automatiquement auprès des 200 serveurs C2 néerlandais et rejoignait le pool de proxies disponibles pour location. Le malware s'installait généralement avec une persistance élevée (survie aux redémarrages) et consommait une fraction minimale des ressources de l'appareil pour passer inaperçu. La détection par les utilisateurs finaux était extrêmement difficile sans outils d'analyse réseau dédiés.

La coopération entre la police néerlandaise et le NCSC a permis de constituer la liste des adresses IP de toutes les victimes identifiées. Les Pays-Bas ont transmis ces informations à leurs homologues d'autres pays via les canaux CERT-à-CERT de confiance, permettant des notifications aux victimes dans d'autres juridictions. En France, le CERT-FR (opéré par l'ANSSI) devrait relayer ces notifications aux fournisseurs d'accès à Internet français concernés, qui peuvent à leur tour alerter leurs abonnés. Aucune arrestation n'avait été annoncée dans le communiqué initial, l'enquête criminelle étant toujours en cours pour identifier et poursuivre les opérateurs et clients du service.

Botnets résidentiels : une couche d'infrastructure criminelle sous-estimée et en expansion

Le démantèlement d'Asocks met en lumière un segment du cybercrime chroniquement sous-médiatisé comparé aux ransomwares ou aux attaques APT étatiques, mais dont l'importance stratégique dans l'écosystème de la cybercriminalité est considérable : l'économie des proxies résidentiels illégaux. Ces services constituent une couche d'infrastructure essentielle pour un spectre très large d'activités criminelles, en offrant une anonymisation robuste, scalable et économique qui exploite la confiance naturellement associée aux adresses IP résidentielles dans les systèmes de réputation et de filtrage.

La taille du réseau Asocks illustre de façon frappante à quel point les équipements insuffisamment sécurisés constituent un risque systémique. Chaque routeur livré avec des identifiants par défaut jamais modifiés, chaque caméra IP sans mise à jour de firmware, chaque NAS domestique exposé à Internet sans authentification forte devient un nœud potentiel dans ces réseaux criminels. La prolifération mondiale de l'IoT sans cadre de sécurité minimal obligatoire crée une réserve quasi-inépuisable de cibles pour les opérateurs de botnets résidentiels.

En Europe, le Cyber Resilience Act (CRA), entré progressivement en application depuis 2025, adresse partiellement ce problème pour les nouveaux appareils connectés mis sur le marché de l'Union européenne, en imposant des exigences aux fabricants : interdiction des identifiants par défaut universels, garantie de mises à jour de sécurité pendant toute la durée de vie des produits. Mais ces exigences ne s'appliquent pas au parc existant d'appareils déjà déployés, qui continuera d'alimenter les botnets résidentiels pendant encore de nombreuses années. La directive NIS2 impose de son côté aux entités essentielles de gérer la sécurité de leurs équipements réseau, y compris les appareils IoT dans leur périmètre opérationnel.

D'un point de vue opérationnel pour les équipes de sécurité, l'opération Asocks soulève des questions importantes sur la gestion des connexions provenant d'adresses IP résidentielles. Des acteurs malveillants exploitant un réseau proxy résidentiel peuvent contourner des blocages géographiques et des listes noires d'adresses IP en semblant se connecter depuis des adresses parfaitement normales en France, en Allemagne ou au Royaume-Uni. La mise en place de protections complémentaires comme l'authentification multifacteur obligatoire pour tous les accès distants, le Zero Trust Network Access (ZTNA) et l'analyse comportementale des connexions est indispensable pour se prémunir contre des attaques utilisant des adresses IP résidentielles légitimes comme couverture.

Ce qu'il faut retenir

  • Le botnet Asocks (17 millions d'appareils, 200 serveurs C2) a été démantelé le 28 mai 2026 par la police néerlandaise et le NCSC via la saisie de l'infrastructure physique hébergée aux Pays-Bas.
  • Routeurs, caméras IP, NAS et appareils IoT non mis à jour ou configurés avec des identifiants par défaut restent les vecteurs d'infection privilégiés : effectuez un factory reset, mettez à jour les firmwares et changez tous les identifiants.
  • Les entreprises ne peuvent plus se fier uniquement à la réputation des adresses IP pour détecter les accès malveillants : renforcez le MFA et adoptez une approche Zero Trust pour tous les accès distants.

Comment savoir si mon routeur ou ma caméra fait partie du botnet Asocks ?

Le NCSC néerlandais a transmis les listes d'adresses IP victimes aux CERT nationaux partenaires. En France, le CERT-FR notifiera les FAI concernés qui peuvent alerter leurs abonnés. Pour vérifier manuellement : connectez-vous à l'interface d'administration de votre routeur et vérifiez les connexions sortantes inhabituelles. Un factory reset complet suivi d'une mise à jour du firmware vers la dernière version disponible et du changement de tous les identifiants par défaut est la mesure corrective minimale recommandée.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact