Le FBI, la division des enquêtes criminelles de l'IRS et Google ont démantelé NetNut, un réseau de proxys résidentiels construit sur le botnet Popa : une flotte d'au moins deux millions de téléviseurs intelligents, de boîtiers de streaming et de routeurs piratés qui ont discrètement relayé le trafic internet d'autres personnes pendant des années à l'insu de leurs propriétaires. Ce démantèlement, annoncé le 2 juillet 2026, fait suite à des semaines de recherches liant NetNut à des logiciels malveillants distribués via des micrologiciels préinstallés et des kits de développement logiciel intégrés sur des appareils grand public d'entrée de gamme.
Qu'est-ce que le botnet proxy résidentiel NetNut
NetNut était exploité par Alarum Technologies, une société israélienne cotée en bourse (NASDAQ : ALAR), et commercialisé comme un service commercial de "proxy résidentiel", permettant aux clients payants d'acheminer leur trafic web via des millions de véritables adresses IP domestiques au lieu de serveurs de centres de données facilement bloqués. Les chercheurs en sécurité de Google, Lumen, Shadowserver, Synthient et Spur ont découvert qu'une grande partie de ce pool d'adresses IP provenait du botnet Popa : des appareils infectés sans consentement et transformés silencieusement en nœuds de sortie pour quiconque était prêt à payer pour y accéder.
Comment deux millions d'appareils ont été piratés
Les enquêteurs ont retracé deux voies d'infection distinctes. Certains boîtiers de télévision intelligente bon marché sortaient d'usine avec un code proxy déjà intégré au micrologiciel. D'autres ont acquis cette même capacité par le biais d'applications gratuites pour mobiles et téléviseurs qui intégraient un kit de développement logiciel caché. L'analyse de Google a révélé sa présence dans environ 42 pour cent des applications LG webOS analysées et dans plus d'un quart des applications Samsung Tizen à divers moments. Une fois installé, le code transformait un téléviseur ou un routeur ordinaire en un relais silencieux pour le trafic de quelqu'un d'autre, sans que le propriétaire de l'appareil ne remarque quoi que ce soit d'inhabituel à l'écran.
Un outil de choix pour les pirates informatiques et les espions
Google affirme avoir suivi 316 groupes de menaces distincts utilisant des nœuds de sortie NetNut présumés au cours d'une seule semaine en juin 2026, englobant à la fois des groupes cybercriminels et des opérations d'espionnage liées à des États. La pulvérisation de mots de passe était le cas d'utilisation le plus courant : les attaquants répartissaient les tentatives de connexion sur des milliers d'adresses IP résidentielles différentes afin qu'aucune d'entre elles ne déclenche jamais de limitation de débit ou d'alerte d'abus sur le service ciblé. L'infrastructure de NetNut était également revendue en marque blanche par plusieurs petits fournisseurs de proxy, ce qui signifie que les mêmes appareils piratés finissaient par alimenter des services qui ne portaient même pas le nom de NetNut.
Le démantèlement
Le FBI et les enquêtes criminelles de l'IRS ont saisi des centaines de domaines liés à NetNut et remplacé la page d'accueil de l'entreprise par une bannière de saisie. Google a désactivé les comptes Google que NetNut utilisait pour le commandement et le contrôle des logiciels malveillants, a mis à jour Google Play Protect pour signaler automatiquement les applications contenant le SDK caché, et a partagé des indicateurs techniques avec l'ensemble de la communauté de la sécurité pour accélérer le nettoyage des appareils déjà infectés. L'ampleur de la réponse, coordonnée entre une agence fédérale, une plateforme majeure et des sociétés de sécurité indépendantes, reflète à quel point les abus de proxys résidentiels sont devenus centraux dans la cybercriminalité moderne et l'espionnage.
Différent d'un VPN
Il convient d'être précis sur la véritable nature de NetNut : il ne s'agissait pas d'un VPN, mais d'un réseau de proxys résidentiels construit en monétisant la bande passante d'appareils dont les propriétaires n'avaient jamais consenti à un tel arrangement. Un service VPN légitime publie l'identité de ses propriétaires, divulgue sa politique de journalisation et sa juridiction, et n'achemine que le trafic de la personne qui a choisi de l'installer, via des serveurs que le fournisseur exploite réellement et dont il est responsable. À l'inverse, des services comme NetNut s'accaparent la bande passante du matériel d'inconnus et en revendent l'accès, laissant le propriétaire de l'appareil sans aucune visibilité sur qui utilise sa connexion ni pourquoi. Cette distinction est cruciale pour quiconque hésite entre un outil de routage de trafic "gratuit" et un service de confidentialité payant et audité : chercher à faire des économies en optant pour une obscure application de proxy est exactement la manière dont un téléviseur intelligent finit par intégrer un botnet.
Pourquoi cela continue de se produire
NetNut n'est pas le premier opérateur de proxys résidentiels lié à du matériel piraté, et les chercheurs affirment qu'il ne sera pas le dernier. Le modèle économique lui-même, qui consiste à payer pour accéder à grande échelle à de véritables adresses IP domestiques, incite constamment à fermer les yeux sur la manière dont cet accès a été obtenu. L'intervention de Google élimine un fournisseur majeur, mais la demande en adresses IP résidentielles difficiles à bloquer de la part des spammeurs, des équipes de bourrage d'identifiants et des opérateurs de fraude publicitaire n'a pas disparu. C'est pourquoi les équipes de sécurité s'attendent à voir émerger des successeurs en marque blanche dans les mois à venir.