

Chaque semaine, des millions d'appareils installés dans des foyers à travers le monde servent de relais à des trafics qu'ils n'ont jamais sollicités. Des smartwatches, des décodeurs TV, des routeurs, des téléviseurs connectés, tous transformés en portes de sortie pour des cybercriminels, des groupes d'espionnage et des opérations de credential stuffing, le tout à l'insu de leurs propriétaires. Le groupe de renseignement sur les menaces de Google, GTIG, a annoncé cette semaine avoir dégradé de manière significative l'un des plus grands réseaux de ce type au monde : NetNut, également suivi sous le nom de Popa. L'opération, conduite en collaboration avec le FBI, Lumen, et d'autres partenaires, a réduit de plusieurs millions le nombre d'appareils utilisables dans ce réseau.
NetNut n'est pas un simple botnet criminel opéré depuis des serveurs clandestins. C'est un service commercial, opéré par Alarum Technologies, une société cotée en bourse sur le NASDAQ sous le ticker ALAR. Cette dimension légale revendiquée n'a pas empêché Google de qualifier le réseau de menace ni de coordonner une opération de perturbation. L'affaire soulève des questions importantes sur la frontière entre les réseaux de proxies résidentiels légitimes et les infrastructures d'anonymisation qui alimentent les cyberattaques.
Un proxy résidentiel est une adresse IP appartenant à un vrai foyer, attribuée par un fournisseur d'accès à Internet standard, qui est utilisée pour faire transiter le trafic d'un tiers. Contrairement aux adresses IP de datacenters, facilement identifiables et bloquées par la plupart des systèmes de sécurité, une adresse IP résidentielle ressemble à celle d'un utilisateur ordinaire naviguant depuis son domicile. Les outils de détection de fraude, les pare-feux applicatifs web, et les systèmes anti-bot peinent à distinguer le trafic légitime d'une adresse résidentielle du trafic malveillant qui transite par cette même adresse.
C'est précisément pourquoi les acteurs malveillants paient pour accéder à ces réseaux. Pour une opération de credential stuffing, router les tentatives de connexion par des milliers d'adresses résidentielles différentes rend la détection par analyse de volume ou de réputation d'IP pratiquement impossible. Pour des groupes d'espionnage voulant dissimuler l'origine de leurs connexions, sortir par une adresse IP d'un foyer ordinaire dans le pays cible est une couverture efficace. Pour des campagnes de fraude publicitaire ou de scraping à grande échelle, les adresses résidentielles franchissent les protections que les datacenters ne peuvent pas contourner.
Le Threat Intelligence Group de Google a compté 316 clusters de menaces distincts utilisant des noeuds de sortie NetNut suspectés sur une seule semaine en juin 2026. Ces 316 clusters incluent à la fois des groupes à motivation criminelle et des groupes d'espionnage. La diversité des acteurs révèle la nature polyvalente de l'infrastructure : NetNut n'est pas l'outil d'un groupe spécifique, c'est une plateforme partagée dont l'accès est vendu à quiconque est prêt à payer. Parmi les usages documentés figurent des attaques par devinette de mots de passe, c'est-à-dire des tentatives d'authentification en force brute ou par credential stuffing contre des portails d'entreprise, routées par des adresses résidentielles pour éviter les blocages basés sur la réputation IP.
La question centrale pour comprendre l'affaire NetNut est celle du recrutement : comment deux millions d'appareils domestiques finissent-ils par faire tourner un logiciel de proxy résidentiel sans que leurs propriétaires le sachent ou l'aient explicitement autorisé ? Deux vecteurs principaux ont été documentés par les chercheurs.
Le premier est le matériel bon marché livré avec le logiciel préinstallé. Des équipements réseau et des appareils multimédia de marques peu connues, vendus à bas prix sur des plateformes de commerce en ligne, sortent d'usine avec un composant logiciel qui enrôle l'appareil dans le réseau Popa dès sa connexion à Internet. L'utilisateur qui achète un décodeur TV ou un routeur économique pour son domicile ignore qu'il acquiert aussi, sans le savoir, la fonction d'exit node d'un réseau de proxies résidentiels commerciaux.
Le second vecteur est l'application mobile ou desktop qui dissimule la participation au réseau dans ses conditions d'utilisation, ou qui ne la divulgue pas du tout. Synthient, un laboratoire de recherche qui a étudié l'infrastructure Popa dans le cadre des investigations ayant précédé l'action de Google, a examiné plus de vingt applications associées au réseau. Aucune d'entre elles n'affichait une invite de consentement explicite informant l'utilisateur que son appareil serait utilisé comme relais de trafic pour des tiers. L'enrôlement se fait à travers des formulations ambiguës dans des conditions générales que peu d'utilisateurs lisent, ou sans aucune information préalable.
Google GTIG estime que le réseau NetNut/Popa couvre au moins deux millions d'appareils, incluant des téléviseurs intelligents et des boîtiers de streaming. Ces catégories d'appareils sont particulièrement vulnérables à ce type d'exploitation parce qu'elles combinent une connectivité permanente avec une visibilité quasi nulle pour l'utilisateur : un téléviseur connecté est rarement surveillé par un logiciel de sécurité, ses processus en arrière-plan ne sont pas visibles, et il reste connecté à Internet en permanence, même en mode veille.
Quand un appareil dans un foyer fait partie du réseau NetNut, il ne se contente pas de faire transiter du trafic externe vers Internet. Selon Google GTIG, ces noeuds de sortie introduisent du trafic externe à l'intérieur du réseau domestique, donnant aux attaquants un point d'ancrage pour atteindre d'autres appareils sur ce même réseau. La compromission d'un décodeur TV bon marché ne crée donc pas uniquement un problème d'image pour l'adresse IP du foyer. Elle crée une porte d'entrée potentielle vers tous les autres appareils connectés : ordinateurs, smartphones, caméras IP, objets connectés, et potentiellement des systèmes de travail à distance si l'occupant du foyer utilise son réseau domestique pour des connexions professionnelles.
Pour les organisations dont les employés travaillent en télétravail, cette réalité a des implications directes. Un salarié dont le réseau domestique inclut un appareil enrôlé dans NetNut expose potentiellement, via ce réseau, les connexions professionnelles qu'il établit depuis chez lui. Les tunnels VPN protègent le contenu de ces connexions, mais ils ne protègent pas contre un attaquant qui aurait obtenu un accès latéral au réseau domestique via le noeud de sortie et qui chercherait à intercepter du trafic non chiffré ou à cartographier les appareils connectés.
Les serveurs de messagerie, les portails de connexion d'entreprise, et les applications web qui utilisent la réputation d'adresse IP pour détecter et bloquer les tentatives d'authentification frauduleuses sont également affectés. Une attaque de credential stuffing ou de force brute routée par des adresses IP NetNut ressemble à du trafic provenant de foyers ordinaires répartis dans le monde. Les mécanismes de défense basés sur la détection de volumes anormaux depuis une même adresse, ou sur le blocage d'adresses IP de datacenters, ne fonctionnent pas contre ce type d'infrastructure. Des identifiants d'employés compromis testés via NetNut peuvent passer sous le radar des contrôles de sécurité traditionnels.
Ce qui distingue le cas NetNut de la majorité des botnets résidentiels est l'existence d'une société commerciale derrière l'infrastructure. Alarum Technologies, société israélienne cotée sur le NASDAQ, opère NetNut comme un service de proxy résidentiel commercial destiné à des cas d'usage légitimes comme le web scraping, la vérification de publicités, ou la recherche en marketing. La société vend l'accès au réseau à des entreprises qui ont besoin d'adresses IP résidentielles pour leurs opérations.
Le modèle de revente qu'Alarum a mis en place amplifie la complexité du problème. NetNut opère un programme de revendeurs qui permet à d'autres sociétés de vendre l'accès au même réseau sous leurs propres noms de marque. Google indique avoir une haute confiance dans le fait que de nombreux services de proxy apparemment distincts et populaires sont en réalité construits sur l'infrastructure NetNut. Pour un acheteur qui cherche des proxies résidentiels, il est difficile de savoir que le service qu'il utilise puise dans le même pool d'appareils qu'il aurait pu trouver directement sur NetNut. La fragmentation apparente du marché des proxies résidentiels masque en partie une concentration de l'infrastructure sous-jacente.
Alarum rejette la qualification de botnet. La société a répondu aux rapports de recherche en les qualifiant d'affirmations inexactes et de déductions erronées, et affirme que son logiciel repose sur un partage de bande passante consenti qui ne compromet pas les appareils sur lesquels il est installé. Les tests de Synthient compliquent cette défense : aucune des applications examinées ne montrait d'invite de consentement claire. La question de ce qui constitue un consentement suffisant pour l'utilisation d'un appareil comme relais de trafic pour des tiers reste ouverte, mais les résultats pratiques, deux millions d'appareils servant d'exit nodes à 316 clusters de menaces en une semaine, parlent d'eux-mêmes.
L'opération de Google, du FBI et de Lumen a réduit significativement le nombre d'appareils utilisables dans le réseau NetNut. Ce n'est pas un démantèlement complet, et les opérateurs de ce type d'infrastructure disposent de mécanismes de résilience qui compliquent les efforts de perturbation durables.
Le premier facteur de résilience est la décentralisation inhérente aux réseaux de proxies résidentiels. Contrairement à un botnet centralisé qui dépend d'une infrastructure de commande et contrôle identifiable, un réseau de proxies résidentiels est essentiellement un agrégateur de connexions disponibles sur des appareils dispersés dans des foyers. Bloquer ou identifier l'infrastructure de contrôle n'élimine pas les appareils enrôlés, qui continueront à fonctionner comme exit nodes tant que le logiciel Popa y est présent.
Le second facteur est le programme de revendeurs. Même si NetNut comme entité commerciale identifiable est ciblé, les sociétés qui revendent l'accès au même réseau sous d'autres marques continuent à opérer. Les acteurs malveillants qui achetaient l'accès via un revendeur n'ont potentiellement pas besoin de changer leurs outils ou procédures si ce revendeur continue à fonctionner avec un pool d'appareils différent ou réduit.
Le troisième facteur est la facilité de recrutement de nouveaux appareils. Les canaux par lesquels NetNut et des réseaux similaires enrôlent des appareils, matériel bon marché livré préconfiguré et applications à consentement opaque, continuent à exister indépendamment de l'action de perturbation. De nouveaux appareils peuvent être enrôlés pour reconstituer le pool aussi vite que des appareils en sont retirés, à condition que la chaîne d'approvisionnement et le modèle de distribution des applications restent intacts.
Les appareils domestiques qui composent le réseau NetNut/Popa, décodeurs TV, téléviseurs connectés, routeurs bon marché, sont les mêmes catégories d'équipements que des botnets malveillants comme Mirai et Badbox 2.0 ont ciblés et continuent de cibler. Google GTIG note que certains appareils impliqués dans le réseau Popa ont également été intégrés dans ces botnets plus directement criminels. La même catégorie d'appareils, choisie pour sa connectivité permanente et ses faibles défenses, sert donc à la fois de base pour des réseaux de proxies commerciaux comme NetNut et pour des botnets explicitement malveillants.
Cette superposition crée une situation dans laquelle un appareil domestique peut simultanément participer à plusieurs réseaux ou successivement tomber entre les mains d'opérateurs aux intentions différentes. Un téléviseur connecté enrôlé dans Popa aujourd'hui peut demain être ciblé par un acteur qui exploite une vulnérabilité dans son firmware pour le recruter dans Mirai ou une variante. La surface d'attaque des appareils IoT domestiques ne se limite pas à leur propre sécurité : elle inclut les usages qui en sont faits par les réseaux dans lesquels ils sont enrôlés.
Pour les organisations qui cherchent à comprendre d'où viennent les tentatives d'authentification anormales ciblant leurs portails, la présence de réseaux comme NetNut dans l'écosystème signifie que la réputation d'une adresse IP résidentielle n'est pas une garantie de légitimité. Des analyses de comportement et d'indicateurs de compromission basées sur des patterns d'accès plutôt que sur des listes de blocage d'IP sont mieux adaptées à la détection d'attaques qui transitent par des proxies résidentiels.
La menace que représentent les réseaux de proxies résidentiels pour les organisations se décline essentiellement en deux catégories : les attaques qui utilisent ces proxies pour cibler vos systèmes, et la présence d'appareils compromis sur les réseaux domestiques de vos employés.
Face aux attaques qui utilisent des proxies résidentiels comme NetNut, les défenses basées uniquement sur les listes de blocage d'adresses IP de datacenters sont insuffisantes par design. Des mécanismes de détection comportementale, qui analysent la cadence des tentatives d'authentification, la cohérence géographique des sessions, et les patterns d'utilisation d'un même compte depuis des adresses différentes, sont plus efficaces pour identifier les opérations de credential stuffing qui transitent par des proxies résidentiels. L'authentification multifacteur résistante au phishing reste la défense la plus efficace contre les conséquences des tentatives d'authentification réussies via des identifiants volés testés par ce type d'infrastructure.
Sur la question des appareils domestiques des employés, les politiques de télétravail qui n'encadrent pas la sécurité du réseau domestique créent une exposition que les VPN d'entreprise ne couvrent pas entièrement. Des recommandations pratiques sur les appareils à éviter, les marques de routeurs dont le firmware est connu pour être préconfiguré avec des logiciels de proxy douteux, et la séparation du trafic professionnel sur un réseau WiFi distinct du réseau général du foyer, réduisent le risque que la présence d'un appareil Popa dans le foyer d'un employé ne crée une exposition pour l'organisation.
La veille en renseignement sur les menaces qui inclut les indicateurs d'infrastructure des grands réseaux de proxies résidentiels permet aux équipes de sécurité de détecter quand des tentatives d'accès à leurs systèmes transitent par des noeuds connus de ces réseaux. Cette détection ne bloque pas automatiquement ces tentatives, mais elle fournit un contexte qui permet de traiter les tentatives d'authentification depuis ces adresses avec un niveau de suspicion plus élevé, et de les soumettre à des contrôles d'authentification supplémentaires.
L'affaire NetNut est un rappel que la menace ne provient pas uniquement d'acteurs clairement malveillants opérant dans l'ombre. Elle peut provenir d'infrastructures commerciales qui occupent une zone grise légale, sont opérées par des sociétés cotées en bourse, et dont les services sont revendus via des chaînes de distribution qui dissimulent l'origine réelle du trafic. Comprendre cette dimension est nécessaire pour construire des défenses adaptées à la réalité de l'écosystème dans lequel les cyberattaques se déroulent en 2026.
L'opération contre NetNut soulève une question pratique pour les équipes de sécurité des organisations : que faire de cette information ? La perturbation du réseau par Google et le FBI est positive, mais elle ne constitue pas une résolution permanente du problème. D'autres réseaux de proxies résidentiels fonctionnent selon des modèles similaires, avec des pools de plusieurs centaines de milliers à plusieurs millions d'appareils, vendant l'accès à quiconque souhaite router son trafic à travers des adresses IP résidentielles.
Du point de vue de la détection, les équipes de sécurité devraient enrichir leurs règles d'analyse de logs avec des indicateurs propres aux attaques transitant par des proxies résidentiels. Contrairement aux attaques venant de datacenters, qui génèrent des volumes élevés depuis un petit nombre d'adresses IP, les attaques via proxies résidentiels génèrent des volumes apparemment faibles depuis un grand nombre d'adresses différentes. Le seuil de déclenchement des alertes de brute force ou de credential stuffing doit tenir compte de ce pattern distribué, sinon ces attaques passent sous le seuil de détection configuré pour des sources concentrées.
Pour les responsables de la sécurité qui gèrent des politiques de télétravail, la recommandation concrète est d'inclure dans les guides de sécurité pour les employés en télétravail un inventaire des marques et catégories d'appareils à éviter ou à isoler. Les décodeurs TV et routeurs de marques inconnues achetés sur des plateformes de commerce en ligne à très bas prix sont les vecteurs d'enrôlement les plus documentés dans les réseaux de type Popa. Encourager les employés à séparer leurs appareils IoT sur un réseau WiFi distinct de celui qu'ils utilisent pour leurs connexions professionnelles est une mesure de segmentation simple qui réduit l'exposition même si un appareil de leur foyer est compromis.
Enfin, l'affaire NetNut illustre pourquoi la sécurité réseau ne peut pas reposer exclusivement sur des listes de blocage statiques d'adresses IP ou de pays d'origine. La capacité d'un acteur malveillant à router son trafic à travers deux millions de foyers répartis dans le monde entier rend ces contrôles contournables par définition. Une défense efficace contre les vecteurs d'attaque qui exploitent les proxies résidentiels passe par des contrôles d'authentification forts, une analyse comportementale des sessions, et une surveillance continue des indicateurs de compromission de credentials pour détecter en amont les données qui alimenteront ces campagnes.
Defendis surveille en continu le dark web et les forums criminels pour détecter les signaux d'alerte spécifiques à votre organisation : exposition d'identifiants, campagnes actives ciblant votre secteur, et indicateurs de compromission liés à votre infrastructure. Demandez une démonstration pour voir ce que nous voyons avant que cela ne vous atteigne.