316 000 cyberattaques. C’est le bilan cumulé de quatre réseaux clandestins qui avaient enrôlé trois millions de routeurs, caméras de surveillance et objets connectés dans une armée numérique invisible. Le 20 mars, le FBI et les autorités canadiennes et allemandes ont saisi l’infrastructure de ces botnets, des systèmes qui détournent des appareils du quotidien pour bombarder des cibles jusqu’à les rendre inaccessibles.
Le détail qui fait tiquer : les deux principaux suspects identifiés par les enquêteurs ont 22 et 15 ans.
Quatre botnets, un seul mode opératoire
L’opération, détaillée dans un communiqué du ministère américain de la Justice, ciblait quatre botnets baptisés Aisuru, Kimwolf, JackSkid et Mossad. Le principe est identique pour les quatre : infecter des appareils connectés vulnérables pour les transformer en relais capables d’inonder une cible de requêtes jusqu’à la saturation. En jargon, c’est une attaque par déni de service distribué, ou DDoS : au lieu qu’un seul ordinateur frappe à la porte, trois millions frappent en même temps.
Aisuru, le plus ancien et le plus agressif, est apparu fin 2024. À lui seul, il a expédié plus de 200 000 ordres d’attaque. JackSkid en totalisait 90 000, Kimwolf 25 000 et Mossad environ un millier. Derrière les chiffres, des victimes bien réelles : entreprises paralysées puis rançonnées, certaines déclarant des pertes de plusieurs dizaines de milliers de dollars. Le ministère de la Défense américain figurait aussi parmi les cibles, ce qui explique l’implication de sa branche d’enquêtes criminelles, le DCIS.
L’agent spécial en chef Rebecca Day, du bureau du FBI d’Anchorage en Alaska, a indiqué que l’opération avait mobilisé près d’une vingtaine d’entreprises technologiques pour identifier et neutraliser les serveurs de commande. L’enquête, coordonnée entre trois pays, marque l’un des plus importants démantèlements de botnets IoT depuis l’affaire Mirai en 2016, qui avait elle aussi reposé sur des caméras et routeurs détournés.
De la triche Minecraft au groupe LAPSUS$
Le parcours du principal suspect illustre une escalade devenue tristement banale dans le cybercrime. Brian Krebs, journaliste d’investigation reconnu dans le domaine de la cybersécurité, a identifié en février un Canadien de 22 ans résidant à Ottawa comme l’opérateur de Kimwolf. L’homme, connu sous le pseudo « Dort », avait débuté dans l’univers du jeu en ligne en distribuant un logiciel de triche pour Minecraft appelé « Dortware ».
De là, la trajectoire a bifurqué. Des traces numériques compilées par les sociétés de renseignement cyber Intel 471 et Flashpoint montrent que Dort a progressivement migré vers les forums de cybercriminalité. Son pseudonyme apparaît dans le serveur de discussion de LAPSUS$, le groupe responsable d’intrusions retentissantes chez Nvidia, Samsung et Microsoft en 2022.
Avec un complice surnommé « Qoft », il aurait développé un programme capable de créer en masse des comptes Xbox Game Pass à partir de cartes bancaires volées, empochant plus de 250 000 dollars selon les données indexées par Flashpoint. Il proposait également un service de contournement de CAPTCHA (ces tests « je ne suis pas un robot ») et une plateforme de création d’adresses mail jetables, deux outils très prisés dans l’écosystème du vol de comptes et du SIM swapping, une technique qui consiste à prendre le contrôle du numéro de téléphone d’une victime.
Le second suspect identifié par les enquêteurs est un adolescent de 15 ans résidant en Allemagne. Le ministère de la Justice a confirmé des « actions judiciaires » dans les deux pays, sans détailler la nature des interpellations.
Kimwolf passait par votre proxy pour infecter votre réseau
Ce qui distingue Kimwolf des botnets classiques, c’est sa méthode de propagation. Benjamin Brundage, fondateur de la société de sécurité Synthient, a découvert que Kimwolf exploitait une faiblesse dans les services de proxy résidentiels. Ces services, utilisés par des millions de particuliers pour masquer leur adresse IP ou accéder à du contenu géo-restreint, laissaient involontairement une porte ouverte vers les réseaux internes de leurs utilisateurs.
Concrètement : Kimwolf passait par ces proxys pour atteindre des appareils branchés derrière le routeur, sur le réseau domestique privé. Des boîtiers TV Android, des cadres photo numériques, des caméras IP bon marché… tout ce qui est connecté et rarement mis à jour se retrouvait enrôlé dans le botnet sans que le propriétaire ne s’en aperçoive. Une technique jamais observée à cette échelle, selon Brundage.
Le 2 janvier 2026, Brundage a publié sa découverte après avoir prévenu les fournisseurs de proxy concernés. La plupart ont corrigé la faille dans les heures suivantes, ce qui a freiné considérablement la propagation de Kimwolf. Mais le répit a été de courte durée : d’autres botnets ont rapidement copié la méthode, ciblant le même type d’appareils vulnérables.
Swatting et menaces de mort contre le chercheur
La réaction de Dort à cette divulgation a été immédiate et violente, rapporte Krebs on Security. Un serveur Discord a été créé dans les heures suivant la publication, diffusant les informations personnelles de Brundage et du journaliste, accompagnées de menaces explicites.
La semaine précédant l’opération du FBI, les occupants du serveur ont publié l’adresse du domicile du chercheur. Peu après, une équipe d’intervention policière s’est présentée chez lui, envoyée par un faux appel d’urgence : du swatting, une pratique qui consiste à provoquer une intervention armée au domicile d’une victime dans l’espoir d’une issue violente.
Dort a poussé la provocation jusqu’à diffuser sur la plateforme SoundCloud un morceau de rap incluant des menaces de mort et des références au swatting de Brundage. Les captures d’écran du serveur Discord, publiées par Krebs, montrent que les membres planifiaient ouvertement les attaques, laissant des preuves que les enquêteurs ont vraisemblablement exploitées.
Comment vérifier si vos appareils sont touchés
Les appareils les plus vulnérables sont les routeurs domestiques de plus de trois ans qui n’ont pas reçu de mise à jour firmware, les caméras IP achetées sur des marketplaces sans garantie de suivi logiciel, et les boîtiers multimédia Android entrée de gamme. Si l’un de vos appareils connectés a ralenti sans raison, consomme anormalement de la bande passante ou se déconnecte fréquemment, il pourrait être infecté.
Le FBI recommande trois mesures : vérifier que le firmware de chaque appareil connecté est à jour, remplacer les mots de passe par défaut (souvent « admin/admin »), et redémarrer régulièrement les appareils suspects, ce qui interrompt la plupart des infections stockées en mémoire vive. Le ministère de la Justice précise que la saisie des serveurs visait à « empêcher de nouvelles infections et supprimer la capacité des botnets à lancer de futures attaques ».
Le suspect canadien, contacté par Brian Krebs, affirme ne plus être actif en ligne depuis 2021, après avoir lui-même été victime de swatting à plusieurs reprises. Les procédures judiciaires au Canada et en Allemagne suivent leur cours. Mais la vulnérabilité chronique des objets connectés domestiques laisse présager que les imitateurs de Kimwolf trouveront d’autres failles à exploiter. Le démantèlement de ces quatre botnets n’est probablement que le premier round.
