31,4 térabits par seconde pendant 35 secondes. En novembre dernier, une attaque DDoS d’une violence sans précédent a frappé un client de Cloudflare. L’équivalent, selon la firme, des populations du Royaume-Uni, de l’Allemagne et de l’Espagne tapant simultanément la même adresse web. Derrière cette frappe record : pas un État, pas un groupe de hackers d’élite, mais un réseau tentaculaire de caméras de surveillance, de routeurs domestiques et de téléviseurs Android piratés à l’insu de leurs propriétaires. Le département de la Justice américain vient de couper le courant.
Quatre botnets tombent d’un coup
Le 19 mars, le DOJ a annoncé le démantèlement simultané de quatre botnets baptisés Aisuru, Kimwolf, JackSkid et Mossad. L’opération, menée conjointement par le Defense Criminal Investigative Service (DCIS, la branche cyber du département de la Défense), le FBI et les autorités canadiennes et allemandes, a ciblé les serveurs de commande qui pilotaient plus de trois millions d’appareils infectés à travers le monde, rapporte Wired.
Le plus ancien et le plus prolifique, Aisuru, avait émis à lui seul plus de 200 000 ordres d’attaque. JackSkid en comptait 90 000, Kimwolf 25 000, et Mossad environ un millier. Tous les quatre fonctionnaient comme des services de DDoS à la demande : n’importe qui pouvait louer leur puissance de feu pour noyer un site, un serveur de jeu ou une infrastructure critique sous un déluge de trafic, selon le communiqué du DOJ.
Vos caméras et routeurs enrôlés sans votre accord
Le point commun des quatre réseaux : tous sont des variantes de Mirai, un malware apparu en 2016 qui cible les objets connectés. Mirai exploite un problème vieux comme l’Internet des objets, à savoir que des millions d’appareils (caméras IP, enregistreurs vidéo, routeurs, box de streaming) fonctionnent avec des mots de passe par défaut que personne ne change jamais.
Aisuru infectait ce type d’appareils classiques. Mais Kimwolf, son rejeton créé en octobre 2025, a franchi un cap. Selon le journaliste spécialisé Brian Krebs, Kimwolf exploitait une vulnérabilité permettant d’atteindre des appareils situés derrière le réseau interne du foyer, là où on pensait être protégé par son routeur. Résultat : des téléviseurs Android connectés, des box multimédia et d’autres gadgets supposés à l’abri se retrouvaient enrôlés dans le botnet. JackSkid utilisait la même technique, précise le DOJ.
En janvier 2026, la société de sécurité Synthient a publiquement révélé la faille exploitée par Kimwolf, ce qui a ralenti sa propagation. Trop tard pour empêcher l’armée combinée Aisuru-Kimwolf de dépasser le million d’appareils, d’après Cloudflare.
Une attaque trois fois plus puissante que le précédent record
Les chiffres donnent le vertige. Selon le rapport trimestriel de Cloudflare sur les menaces DDoS, l’attaque combinée Aisuru-Kimwolf de novembre 2025 a atteint 31,4 Tbps, soit près de trois fois le volume du précédent record mondial. L’assaut n’a duré que 35 secondes, mais Cloudflare estime qu’il aurait suffi à « paralyser des infrastructures critiques, submerger la plupart des solutions de protection DDoS traditionnelles et perturber la connectivité de nations entières ».
Avant cette frappe, Aisuru s’était déjà fait remarquer en ciblant des serveurs Minecraft et en bombardant le site de Brian Krebs, journaliste cybersécurité qui enquêtait justement sur ses opérateurs. À l’échelle globale, Cloudflare a enregistré 47,1 millions d’attaques DDoS en 2025, soit une hausse de 121 % en un an. En moyenne, la firme en bloquait 5 376 par heure.
Un Canadien de 22 ans, un Allemand de 15 ans
Aucune arrestation n’a été annoncée dans le communiqué officiel, mais le DOJ mentionne des « actions des forces de l’ordre » menées simultanément au Canada et en Allemagne contre des individus soupçonnés d’avoir opéré les botnets. Brian Krebs avait identifié dès février un Canadien de 22 ans comme opérateur principal de Kimwolf. Plusieurs sources proches de l’enquête lui ont également désigné un adolescent de 15 ans résidant en Allemagne comme second suspect majeur.
Le profil colle avec l’histoire de Mirai. En 2016, les trois créateurs du botnet original avaient entre 18 et 20 ans. Dix ans plus tard, le même type de code open source, amélioré et redistribué, permet à des opérateurs très jeunes de contrôler des armées d’appareils capables de mettre à genoux des pans entiers d’Internet.
Mirai fête ses dix ans, ses héritiers pullulent
Le démantèlement ne règle pas le problème de fond. Synthient a certes révélé la faille de Kimwolf, et les serveurs de commande sont désormais hors ligne. Mais Krebs note que depuis la divulgation, plusieurs nouveaux botnets ont copié la méthode de propagation de Kimwolf pour atteindre les appareils derrière les réseaux domestiques, en se battant pour infecter le même pool d’objets vulnérables.
Le vrai talon d’Achille reste inchangé : des millions d’objets connectés vendus avec des identifiants par défaut, des firmwares jamais mis à jour, et des fabricants qui cessent le support après quelques mois. Tant que cette réalité persiste, couper un botnet revient à tailler une mauvaise herbe sans arracher la racine. Le DCIS et le FBI ont remercié une vingtaine d’entreprises technologiques pour leur aide dans l’opération, signe que le combat exige désormais une coordination entre justice, renseignement et industrie privée.
Prochaine étape judiciaire : les poursuites pénales contre les opérateurs présumés. Au Canada et en Allemagne, les procédures sont en cours. Si le suspect allemand est bien mineur, son cas pourrait relancer le débat sur la responsabilité pénale des adolescents dans la cybercriminalité, un sujet que l’Union européenne examine dans le cadre de la révision de sa directive sur les attaques contre les systèmes d’information, attendue fin 2026.
