Les autorités canadiennes ont arrêté le 21 mai 2026 à Ottawa un homme de 23 ans, Jacob Butler, soupçonné d’être l’administrateur du botnet KimWolf. Ce réseau de machines compromises a infecté environ deux millions d’appareils, principalement des routeurs Wi‑Fi et des caméras IP, selon des données de janvier 2026 fournies par la société de cybersécurité Synthient. Le botnet générait 12 millions d’adresses IP uniques chaque semaine.
Un botnet aux capacités dévastatrices
KimWolf utilisait un code proche de celui du célèbre botnet Mirai, apparu il y a plus de dix ans. Il a été employé pour lancer plus de 25 000 attaques par déni de service distribué (DDoS) contre des serveurs et des ordinateurs à travers le monde. Parmi les cibles figurait le département de la Défense des États‑Unis (Pentagone). Au pic de son activité, KimWolf a généré des attaques DDoS atteignant près de 30 térabits par seconde, un record à l’époque.
Démantèlement et arrestation
En mars 2026, une coalition réunissant notamment le FBI, Cloudflare et Google a cartographié puis démantelé l’infrastructure de commande et contrôle du botnet. Trois autres botnets (Aisuru, JackSkid et Mossad) ont également été neutralisés à cette occasion. Un mois plus tard, Jacob Butler a été inculpé par les autorités américaines et canadiennes, puis interpellé le 21 mai à Ottawa. Les enquêteurs se sont appuyés sur des adresses IP, des informations de comptes en ligne, des relevés de transactions financières et des historiques de messagerie pour remonter jusqu’à lui.
Extradition et suites judiciaires
Jacob Butler sera extradé vers les États‑Unis, où il est accusé d’aide et de complicité dans des intrusions informatiques. Il encourt une peine maximale de dix ans d’emprisonnement. Dans le cadre de l’enquête, les autorités américaines ont saisi 45 plateformes conçues pour lancer des attaques DDoS, dont au moins une collaborait directement avec le botnet KimWolf.
