Le DOJ démantèle un botnet de 17 millions d'appareils loués aux cybercriminels

Dix-sept millions d’appareils. Routeurs, caméras IP, thermostats connectés, réfrigérateurs intelligents. Des dizaines de térabits de trafic malveillant par seconde, suffisamment pour saturer l’intégralité du réseau national de certains pays. Le 29 mai 2026, le département américain de la Justice a annoncé la neutralisation de ce que ses propres documents judiciaires décrivent comme « l’un des plus vastes réseaux de machines compromises jamais mis au jour ».

Les victimes se comptent en centaines de milliers. Les pertes financières cumulées atteignent plusieurs dizaines de millions de dollars, selon les estimations provisoires transmises au tribunal fédéral.

Un réseau criminel actif depuis 2023, lié à un proxy résidentiel russe

Le botnet opérait au moins depuis 2023. Son modèle économique était d’une clarté presque cynique : les opérateurs louaient leur capacité d’attaque à des clients tiers, transformant des millions d’objets connectés appartenant à des particuliers en infrastructure DDoS commerciale. Du crime en tant que service, à la manière d’un AWS de la destruction.

Le réseau était lié à une infrastructure de proxy résidentiel basée en Russie, selon les enquêteurs. Ce type de montage présente un avantage pour les criminels : le trafic malveillant semble provenir d’adresses IP domestiques légitimes, rendant le filtrage difficile et la traçabilité presque impossible pour les victimes.

L’opération de démantèlement a été coordonnée entre le DOJ, le FBI, plusieurs services de police étrangers et des entreprises privées de cybersécurité. L’infrastructure de commande et contrôle a été saisie lors d’une action simultanée annoncée officiellement le 29 mai 2026.

Ce que 17 millions d’appareils zombies permettaient réellement

Le procureur général adjoint chargé de la division criminelle du DOJ a déclaré dans son communiqué : « This operation has dismantled one of the largest botnets ever observed on the public Internet, preventing countless attacks against critical services and everyday users. »

Un haut responsable du FBI a précisé : « By seizing the command-and-control infrastructure, we have effectively cut off the criminals’ ability to weaponize millions of innocent users’ devices. »

Ce détail mérite qu’on s’y arrête. Les appareils compromis appartenaient à des utilisateurs qui n’en savaient rien. Leur routeur ou leur caméra de surveillance participait à des attaques contre des hôpitaux, des services publics ou des entreprises, pendant qu’ils dormaient. Un chercheur en sécurité d’une entreprise partenaire de l’opération a résumé l’ampleur ainsi : « At its peak, this botnet could throw more traffic than many national networks can handle. »

C’est là que réside la vraie menace. Pas dans un superordinateur souterrain, mais dans les millions d’objets connectés installés sans mot de passe modifié, sans mise à jour de firmware, sans la moindre pensée pour leur sécurité. L’équipement de Tony Stark protège Stark Tower. Le routeur moyen protège exactement personne.

L’acte d’accusation confirme que le réseau générait des attaques DDoS atteignant des dizaines de térabits par seconde, un volume suffisant pour rendre inopérants des pans entiers d’internet selon les zones ciblées. Les clients du botnet pouvaient commander ces attaques à la demande, sans compétences techniques particulières.

Ce que ce démantèlement change pour les entreprises et les utilisateurs européens

Pour les entreprises françaises et européennes qui étaient parmi les cibles potentielles, la neutralisation retire une menace concrète. Les opérateurs de services critiques, énergéticiens, banques, télécoms, faisaient face à une infrastructure capable de les saturer sur commande, pour quelques centaines ou milliers de dollars facturés à l’attaquant.

Pour les particuliers, le message est différent. Leurs appareils étaient les munitions. La question de la sécurité des objets connectés n’est pas abstraite : elle détermine si votre box internet sera utilisée demain pour attaquer un hôpital. La directive européenne NIS2, entrée en vigueur progressivement depuis 2024, impose désormais des obligations de sécurité aux opérateurs d’infrastructures essentielles, mais les millions de routeurs domestiques bon marché, eux, restent hors de tout cadre contraignant.

Le DOJ a saisi l’infrastructure. Il n’a pas sécurisé les 17 millions d’appareils. Ils sont toujours là.

Quand le prochain opérateur décidera de construire son propre réseau avec les mêmes appareils non patchés, combien de temps faudra-t-il avant que personne ne remarque ?