Un botnet de 17 millions d'appareils démantelé, mais les risques persistent

La police néerlandaise et le Centre national de cybersécurité (NCSC) ont mis hors ligne les serveurs contrôlant le botnet Asocks, un réseau de 17 millions d'appareils infectés répartis dans plus de 163 pays. L'opération s'est déroulée les 28 et 29 mai 2026 après qu'un chercheur en sécurité a alerté les autorités sur une activité suspecte. Pour les utilisateurs de routeurs, caméras connectées et objets domestiques intelligents, cette affaire est un rappel concret : votre appareil peut travailler pour des cybercriminels sans que vous le sachiez.

Le réseau

Asocks n'était pas un simple outil de piratage amateur. Le service fonctionnait comme un « supermarché » de proxies résidentiels — il vendait à des clients l'accès à des adresses IP d'appareils domestiques ordinaires. Pour les cybercriminels, c'est précieux : les filtres de sécurité bloquent rarement une requête provenant du routeur d'un particulier en banlieue. Le réseau servait ainsi à des attaques par hameçonnage, à l'envoi massif de spams, à des attaques DDoS et à masquer l'origine réelle d'activités frauduleuses.

Les 200 serveurs de commande étaient hébergés dans des centres de données néerlandais — une tactique classique pour faire passer du trafic malveillant comme légitime. Les autorités ont saisi une partie du matériel et obtenu la coupure des nœuds restants par les hébergeurs.

Une victoire partielle

L'opération a des limites importantes. Aucune arrestation n'a été annoncée : les concepteurs du réseau sont toujours libres. Plus problématique encore, selon Martin Cid Magazine, le site web d'Asocks était toujours accessible après le démantèlement. Surtout, la saisie des serveurs ne désinfecte pas automatiquement les 17 millions d'appareils concernés : le logiciel malveillant peut rester actif et être réactivé par un nouveau contrôleur.

Ce schéma n'est pas isolé. En mars 2026, le botnet SocksEscort — une infrastructure similaire — avait compromis 369 000 appareils avant d'être démantelé. Le marché des proxies résidentiels illicites résiste aux coups de filet.

Ce qu'on peut faire

Le NCSC néerlandais recommande trois actions simples mais efficaces : changer les mots de passe par défaut de tous ses appareils connectés, activer le chiffrement WPA2 ou WPA3 sur son réseau Wi-Fi, et installer les mises à jour logicielles dès qu'elles sont disponibles. En France, l'ANSSI rappelle régulièrement que la majorité des appareils IoT restent utilisés avec leurs identifiants d'usine — une porte d'entrée directe pour ce type d'infection.

Si votre box ou routeur n'a jamais été mis à jour depuis son installation, c'est le bon moment de vérifier les paramètres. Les opérateurs comme Orange, SFR ou Bouygues proposent des interfaces d'administration accessibles en quelques clics.