Une vaste opération de démantèlement menée par l’unité Cybercrime de la police de La Haye et le Centre national de cybersécurité (NCSC) des Pays-Bas a mis hors ligne un important réseau d’appareils infectés. Selon les informations communiquées par les autorités néerlandaises, plus de 200 serveurs hébergés aux Pays-Bas ont été saisis ou désactivés chez un prestataire d’hébergement. Ce réseau contrôlait au moins 17 millions d’équipements dans le monde – ordinateurs, tablettes et smartphones – transformés en relais de trafic à l’insu de leurs propriétaires.
L’enquête a été ouverte après le signalement d’un chercheur en sécurité, qui a alerté le NCSC. Les serveurs, qui servaient de centre de commande, ont été en partie saisis par la police à des fins d’analyse forensique, tandis que le fournisseur d’hébergement a désactivé les autres sur demande des autorités.
Un service de proxies résidentiels détourné
Derrière cette infrastructure criminelle se trouve Asocks, un service en ligne présenté comme un « service proxy universel ». Asocks proposait des abonnements mensuels compris entre 5 et 15 dollars, avec des tarifs dégressifs, et revendiquait sept millions d’adresses IP réparties dans 150 pays ainsi que 100 000 clients actifs. Le service permettait de faire transiter du trafic internet via l’adresse IP d’un appareil appartenant à un particulier (routeur, caméra connectée, smartphone).
Selon les autorités néerlandaises, une partie importante de ces appareils n’avait pas adhéré volontairement au réseau. Un logiciel malveillant de type proxyware avait été installé à leur insu sur des équipements non sécurisés. Ce malware connectait chaque appareil infecté à l’infrastructure d’Asocks, le transformant en relais de trafic. Ce réseau servait ensuite à lancer des cyberattaques – campagnes de phishing, envoi de spam, saturation de sites par des attaques DDoS – sans que les propriétaires puissent détecter le détournement.
Le lien entre Asocks et le botnet n’a pas été officiellement confirmé par les autorités néerlandaises dans leurs annonces. Contactés par la presse, les administrateurs d’Asocks n’avaient pas réagi aux accusations au moment de la mise hors ligne de la plateforme.
Contexte : une série de démantèlements
Cette opération intervient dans un contexte de lutte renforcée contre les botnets. Récemment, une coalition comprenant CrowdStrike, Google et la Shadowserver Foundation a neutralisé le botnet russe Glassworm. Quelques semaines plus tôt, quatre botnets nommés Aisuru, KimWolf, JackSkid et Mossad avaient été démantelés par une coalition d’agences gouvernementales et d’entreprises, dont Cloudflare et Google. L’un des développeurs de KimWolf avait par la suite été interpellé au Canada.
Recommandations du NCSC
Pour se protéger contre ce type de menaces, le NCSC recommande de changer les mots de passe par défaut de tous les appareils connectés (routeurs, caméras), de sécuriser son réseau Wi-Fi en utilisant WPA2 ou WPA3, de maintenir les logiciels et systèmes à jour, et d’activer l’authentification à deux facteurs lorsque l’option est disponible. Les autorités conseillent aussi de désactiver les interfaces d’administration à distance lorsqu’elles ne sont pas nécessaires.
