Le paysage des cybermenaces a évolué, passant de perturbations numériques localisées à des outils sophistiqués ayant un impact géopolitique stratégique. Ce changement périlleux a été clairement illustré lorsqu’une opération fédérale de maintien de l’ordre visant à démanteler un botnet majeur a involontairement créé une ouverture immédiate pour des entités criminelles rivales, qui ont rapidement réquisitionné des dizaines de milliers d’appareils pour de nouvelles cyberattaques record.
Le démantèlement réussi par le Federal Bureau of Investigation (FBI) d’un botnet responsable d’une activité cybercriminelle généralisée a permis de nettoyer près de 95 000 appareils compromis. Cependant, un botnet concurrent, Aisuru, a instantanément exploité ce vide. Comme l’a noté Damian Menscher, ingénieur en sécurité chez Google, c’est devenu « une course pour les prendre en charge le plus rapidement possible », Aisuru s’emparant de plus d’un quart des machines libérées.
La vitesse et l’ampleur de ces réseaux réarmés sont sans précédent. Cloudflare a documenté, le 1er septembre, la plus grande attaque par déni de service distribué (DDoS) jamais enregistrée, atteignant un pic stupéfiant de 11,5 billions de bits par seconde de trafic malveillant. Cette intensité, qualifiée de « record mondial » par Cloudflare sur X, signale une nouvelle génération d’attaques courtes et massives, souvent des tests des capacités complètes des botnets. Il est crucial de noter que ces botnets modernes exploitent principalement les appareils de l’internet des objets (IoT) — routeurs, téléviseurs intelligents et caméras de sécurité — qui sont fréquemment négligés et rarement mis à jour, ce qui en fait des cibles persistantes pour le piratage.
Les botnets : de la fraude à la cyberguerre
Cette évolution des capacités des botnets marque une transition de la nuisance numérique ou de la fraude financière vers de potentiels instruments de cyberguerre. Des experts, dont Craig Labovitz, responsable de la technologie chez Deepfield, une division de Nokia, notent une escalade critique : « Avant, la préoccupation était les sites web ; maintenant, la préoccupation est les pays. » Cela concorde avec des événements géopolitiques, tels que les attaques DDoS que le GRU russe aurait lancées contre des banques ukrainiennes en 2022, précédant son invasion militaire.
Des preuves suggèrent que les réseaux criminels adoptent de plus en plus cette stratégie. Google, par exemple, a démantelé un botnet qui est passé de 74 000 appareils Android TV en 2023 à plus de 10 millions en deux ans, devenant ainsi le plus grand botnet de téléviseurs intelligents connu. Bien qu’initialement utilisé pour une fraude publicitaire massive, Google a averti de sa facilité de réaffectation pour des rançongiciels ou des pannes d’internet. De même, le botnet ResHydra, composé de dizaines de millions d’appareils, est également passé de la fraude au lancement d’attaques en ligne directes, Chris Formosa de Black Lotus Labs de Lumen notant son potentiel de « dommages extrêmes pour un pays ».
Actuellement, les grands fournisseurs de services cloud comme Google Cloud et Amazon Web Services parviennent en grande partie à atténuer ces attaques sophistiquées. Cependant, l’augmentation incessante de la puissance des botnets et le potentiel d’opérations combinées d’entités comme Aisuru ou ResHydra posent un défi redoutable, menaçant de submerger même les défenses numériques les plus robustes.