Votre téléphone ou votre box a peut-être été l’un des 17 millions d’appareils loués en secret

Un botnet ne se trahit pas toujours en ralentissant votre téléphone ou en noyant l’écran sous les fenêtres surgissantes. Le réseau que la police néerlandaise vient de démanteler ne faisait presque rien qu’un propriétaire ordinaire aurait pu remarquer. Il empruntait en silence une fraction de plus de 17 millions d’appareils, dont des ordinateurs, des smartphones, des tablettes, des box domestiques et des objets connectés, et louait leurs connexions à des tiers. Si l’un de ces appareils était le vôtre, quelqu’un que vous ne croiserez jamais a peut-être navigué, aspiré des données ou attaqué des sites pendant des mois via votre ligne domestique.

La police nationale des Pays-Bas et le Centre national de cybersécurité du pays ont mis fin à l’opération après avoir saisi environ 200 serveurs chez un hébergeur situé en territoire néerlandais. Les enquêteurs décrivent le réseau comme un service de proxy résidentiel, un système qui fait transiter le trafic des uns par les appareils réels des autres pour qu’il ressemble à une navigation domestique ordinaire. Ce déguisement, c’est tout le produit. Un trafic qui semble venir d’une véritable adresse résidentielle passe sous les filtres antifraude qui bloqueraient aussitôt un serveur de centre de données connu, et c’est précisément pour cela que les proxys résidentiels sont prisés des annonceurs, des aspirateurs de données et des criminels.

La presse néerlandaise a relié l’infrastructure à ASOCKS, une société basée en Russie qui vend commercialement un accès à des proxys résidentiels et mobiles. En apparence, ASOCKS ressemble à un service d’abonnement banal. Le problème, c’est l’origine de ses connexions résidentielles. Les chercheurs en sécurité avertissent depuis des années qu’une large part des appareils alimentant ce type de réseau n’ont jamais été enrôlés en connaissance de cause, et que leurs propriétaires ignoraient que leur bande passante était à vendre.

Les appareils ont été recrutés de plusieurs façons, et presque toutes reviennent à une confiance mal placée dans les logiciels gratuits. Certains ont installé une application gratuite, un fond d’écran, un utilitaire pour téléphone ou un VPN non officiel, qui embarquait en arrière-plan un logiciel proxy. Sur Android, une bibliothèque de code nommée PROXYLIB, glissée dans un kit de développement que des éditeurs d’applications intégraient à leurs produits, inscrivait les téléphones comme nœuds proxy sans rien demander. D’autres machines ont été infectées par un logiciel malveillant qui installait directement la même fonction. Dans tous les cas, l’appareil continuait de fonctionner normalement pendant que sa connexion travaillait pour quelqu’un d’autre.

Une fois dans le pool, la connexion d’un appareil pouvait servir à presque tout ce qui gagne à ressembler à un internaute domestique inoffensif. Les autorités néerlandaises affirment que le réseau alimentait des campagnes d’hameçonnage, du spam, des attaques par déni de service qui mettent des services hors ligne, du bourrage d’identifiants et des tentatives de connexion par force brute, de la fraude au clic et des combines de SMS surtaxés qui siphonnent l’argent en silence. Une seule box piratée ne produit pas grand-chose toute seule. Dix-sept millions, mises en commun, deviennent une véritable infrastructure.

Le démantèlement est réel, mais ce n’est pas une guérison. La police a saisi les serveurs qui coordonnaient le réseau, mais le site d’ASOCKS restait accessible ensuite, et l’on ignore quelle part de l’activité de fond a vraiment été détruite. Couper les serveurs de commande ne nettoie pas automatiquement les 17 millions d’appareils, car le code proxy embarqué et les logiciels malveillants peuvent rester intacts sur un téléphone ou une box jusqu’à ce qu’un nouvel opérateur les récupère. De plus, l’abus de proxys résidentiels est un marché, pas une entreprise unique. Coupez un réseau et la demande migre vers le suivant, car l’appétit légitime pour les vraies adresses, des sociétés de vérification publicitaire aux entreprises d’IA qui aspirent le web, maintient le modèle rentable.

Pour situer l’échelle, 17 millions d’appareils placent ce réseau parmi les plus grands proxys jamais déconnectés, bien au-delà de nombreux botnets de logiciels malveillants qui font les gros titres pour avoir propagé un seul virus. Mais, contrairement à une infection par rançongiciel, il y a rarement un symptôme évident. Les indices sont plutôt anodins : une box qui chauffe ou redémarre sans raison, un forfait domestique qui bute sans cesse sur son plafond de données, un téléphone dont la batterie et les données fondent sans rapport avec l’usage réel, ou des sites qui vous font résoudre des captchas à répétition parce que votre adresse leur paraît suspecte.

Comme les appareils infectés étaient dispersés dans le monde entier plutôt que concentrés dans un seul pays, le risque n’est pas régional. Quiconque utilise une vieille box ou un téléphone Android bon marché bourré d’utilitaires gratuits a pu être emporté. Les défenses pratiques sont peu spectaculaires et bien connues : gardez box et téléphones à jour, supprimez les applications gratuites que vous n’utilisez pas vraiment, fuyez les logiciels installés hors des boutiques officielles et les VPN non officiels qui promettent quelque chose pour rien, et redémarrez une box qui tourne sans interruption depuis des années.

L’affaire a commencé quand un chercheur en sécurité a signalé une activité proxy suspecte au Centre national de cybersécurité, et les autorités néerlandaises ont indiqué que l’analyse des serveurs saisis se poursuit, sans arrestation annoncée à ce jour. Ce qu’elle rend évident, c’est que l’économie des appareils comporte désormais un marché noir de votre bande passante. La prochaine fois qu’une application sera gratuite, le produit en vente sera peut-être la connexion internet que vous payez déjà.