Le Département de Justice américain et ses alliés ont démantélé 4 botnets IoT cumulant 3 millions d’appareils compromis, responsables d’attaques DDoS record à 31,4 Tbps. Deux suspects ont été arrêtés, dont un adolescent de 15 ans.
En bref
- Le DoJ américain et ses alliés ont démantélé 4 botnets IoT infectant 3 millions d’appareils, responsables du record mondial DDoS à 31,4 Tbps.
- Deux suspects arrêtés : Jacob Butler (23 ans, Canada) et un adolescent de 15 ans en Allemagne, avec la coopération d’AWS, Cloudflare, Google et Akamai.
- Les appareils compromis sont principalement des routeurs, DVR, webcams et smart TVs Android sans mises à jour de sécurité.
Quatre botnets IoT géants neutralisés, dont le record mondial à 31,4 Tbps
Le Département de Justice américain, en coordination avec le Canada et l’Allemagne, a annoncé le démantèlement de l’infrastructure de commande et contrôle de quatre botnets IoT massifs : AISURU, Kimwolf, JackSkid et Mossad. Ces réseaux cumulaient plus de 3 millions d’appareils compromis — routeurs Wi-Fi grand public, enregistreurs vidéo numériques, webcams et téléviseurs Android connectés. AISURU a établi le record mondial d’attaque DDoS volumétrique : 31,4 térabits par seconde atteints en seulement 35 secondes en novembre 2025, selon les mesures de Cloudflare.
Deux suspects ont été identifiés et arrêtés : Jacob Butler, 23 ans, résidant à Ottawa au Canada, et un adolescent de 15 ans en Allemagne, dont les systèmes auraient émis plus de 200 000 commandes d’attaque pour le seul botnet AISURU. Le botnet Kimwolf s’était spécialisé dans les smart TVs Android de marques peu connues et les décodeurs, infectant à lui seul plus de 2 millions d’appareils Android. Les géants du cloud et de la sécurité réseau — AWS, Cloudflare, Google, Akamai et Lumen Black Lotus Labs — ont collaboré activement à l’enquête, Lumen procédant au null-routing de près de 1 000 serveurs de commande identifiés.
L’opération illustre la montée en puissance des attaques DDoS hyper-volumétriques rendues possibles par la prolifération d’appareils IoT mal sécurisés. Ces équipements, souvent fabriqués à bas coût sans politique de mises à jour sur le long terme, constituent un réservoir d’armes numériques dormantes exploitables par n’importe quel acteur malveillant disposant des bons outils — y compris des adolescents.
L’IoT non sécurisé, arme de destruction massive dans le paysage DDoS
Cette opération représente la plus grande action coordonnée contre des botnets DDoS hyper-volumétriques de l’histoire récente. Elle révèle une vulnérabilité systémique : les appareils IoT bon marché — achetés en grande surface ou commandés sur des plateformes e-commerce — deviennent des armes entre les mains de cybercriminels parfois très jeunes. Pour les entreprises, les fournisseurs de services cloud et les opérateurs télécoms, la menace DDoS à plusieurs dizaines de térabits par seconde est désormais une réalité opérationnelle documentée. La coopération public-privé entre forces de l’ordre et hyperscalers s’avère efficace et devrait s’intensifier dans les années à venir.
Ce qu’il faut retenir
- Remplacer ou isoler les appareils IoT anciens qui ne reçoivent plus de mises à jour firmware de leur fabricant.
- Les organisations exposées sur internet doivent disposer d’une protection anti-DDoS capable d’absorber des pics à plusieurs térabits par seconde.
- Changer systématiquement les mots de passe par défaut des appareils IoT dès leur installation reste la mesure préventive la plus simple et la plus efficace.
Comment savoir si mes appareils IoT font partie d’un botnet ?
Les signes d’infection incluent une consommation réseau anormalement élevée (notamment la nuit), une lenteur inhabituelle ou une surchauffe de l’appareil. Des outils comme Shodan permettent aux équipes réseau d’identifier des appareils exposés sur internet. La mesure préventive la plus efficace reste le changement des mots de passe par défaut et l’installation systématique des mises à jour firmware dès leur disponibilité.
Besoin d’un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est un expert senior en cybersécurité offensive et intelligence artificielle avec plus de 20 ans d'expérience. Spécialisé en rétro-ingénierie, forensics numériques et développement de modèles IA, il accompagne les organisations dans la sécurisation d'infrastructures critiques.
Expert judiciaire et conférencier reconnu, il intervient auprès des plus grandes organisations françaises et européennes. Ses domaines couvrent l'audit Active Directory, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares et l'IA générative (RAG, LLM).
Ressources & Outils de l'auteur
Articles connexes
Mandiant M-Trends 2026 : accès initial cédé en 22 secondes
Le rapport M-Trends 2026 de Mandiant révèle que l'accès initial est cédé en 22 secondes et que les ransomwares adoptent le recovery denial pour rendre toute restauration impossible.
Medusa Ransomware : 9 jours hors-ligne pour un hôpital US
Medusa ransomware a paralysé le University of Mississippi Medical Center pendant 9 jours : 35 cliniques fermées, 1 To de données médicales exfiltrées, rançon de 800 000 dollars.
GlassWorm utilise Solana comme C2 pour son RAT furtif
GlassWorm utilise la blockchain Solana comme dead drop C2 et cible pour la première fois l'écosystème MCP, rendant son RAT quasi impossible à bloquer.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire