Le service canadien du renseignement a obtenu l’autorisation d’un juge pour intervenir sur des serveurs, routeurs domestiques et objets connectés infectés au Canada. La décision, rendue publique mi-juin 2026, marque un précédent dans l’usage de mesures cyber actives encadrées par la justice.
Une décision inédite de la Cour fédérale
Le Service canadien du renseignement de sécurité, le CSIS, a obtenu au printemps 2024 un mandat pour neutraliser deux botnets opérés par des adversaires étrangers. La décision de la Cour fédérale, rendue publique mi-juin 2026 dans une version expurgée, donne un rare aperçu de la manière dont un État peut intervenir directement sur des équipements compromis situés sur son territoire.
Les appareils concernés n’étaient pas seulement des serveurs. La décision mentionne aussi des routeurs de petits bureaux ou de domiciles, ainsi que des objets connectés du quotidien, comme des caméras de surveillance, des téléviseurs, des sonnettes connectées ou d’autres équipements Wi-Fi. Une fois infectés, ces appareils peuvent être enrôlés dans un botnet, c’est-à-dire un réseau de machines compromises pilotées à distance.
Le point le plus sensible tient à la nature même de l’intervention. Pour neutraliser la menace, le CSIS ne se limitait pas à collecter du renseignement ou à surveiller des flux. Il demandait l’autorisation d’agir sur des systèmes infectés afin de réduire la menace pesant sur des infrastructures canadiennes. La Cour a relevé que les mesures envisagées pouvaient, sans autorisation judiciaire, s’apparenter à des infractions pénales. D’où la nécessité d’un mandat.
Nettoyer sans devenir l’attaquant
Ce type d’intervention pose une question délicate. Comment neutraliser un botnet sans franchir la ligne qui sépare la défense de l’intrusion ? Dans cette affaire, le juge a accepté l’idée que l’action du service de renseignement pouvait être justifiée si elle restait encadrée, proportionnée et destinée à réduire une menace identifiée.
Un routeur domestique infecté appartient souvent à un particulier qui ignore totalement que son appareil sert de relais à un adversaire étranger. Une caméra ou une box compromise peut participer à une opération de déni de service, servir de proxy ou masquer d’autres activités malveillantes. Intervenir sur ces équipements revient donc à toucher à des systèmes qui ne sont pas ceux des attaquants, mais ceux de victimes intermédiaires.
La décision canadienne cherche précisément à traiter cette zone grise. Elle ne dit pas qu’un service peut agir librement sur n’importe quel appareil infecté. Elle indique qu’une telle opération doit passer par un contrôle judiciaire, avec des conditions définies par le tribunal. C’est là que le précédent est intéressant pour les autorités cyber, mais aussi pour les juristes et les opérateurs d’infrastructures.
Les botnets exploitent les angles morts du numérique quotidien
Les botnets ne reposent pas toujours sur des infrastructures sophistiquées. Une partie de leur efficacité vient au contraire de l’accumulation d’équipements peu surveillés, mal mis à jour ou installés avec des réglages faibles. Les routeurs domestiques, caméras IP, enregistreurs vidéo et objets connectés constituent depuis des années un vivier très utile pour les attaquants.
Leur propriétaire ne voit souvent rien. L’appareil continue de fonctionner, la connexion Internet semble normale et l’infection peut rester invisible pendant des mois. Pour l’attaquant, cette discrétion est précieuse. Elle permet de disposer d’un réseau de relais distribué, difficile à couper d’un seul geste, parfois situé dans des pays où les interventions techniques et judiciaires prennent du temps.
Le cas canadien montre que ces appareils ne sont plus seulement un sujet de sécurité domestique ou de bonnes pratiques grand public. Une fois enrôlés dans des opérations pilotées par des acteurs étrangers, ils deviennent une partie du problème de sécurité nationale. Ce basculement explique pourquoi le renseignement s’en saisit, y compris par des moyens techniques actifs.
Un précédent qui encadre plus qu’il n’ouvre les vannes
La tentation serait de lire cette affaire comme un feu vert donné aux opérations de nettoyage à distance. Ce serait aller trop vite. La décision rendue publique montre plutôt la prudence du cadre retenu. Le CSIS a dû passer devant un juge, expliquer la menace, justifier les mesures envisagées et obtenir une autorisation spécifique.
Cette exigence est centrale, car elle évite de réduire le sujet à une simple question d’efficacité. Nettoyer des appareils compromis peut être utile. Le faire sans contrôle créerait un autre problème, surtout lorsque les systèmes concernés appartiennent à des particuliers, des petites entreprises ou des organisations qui ne sont pas directement impliquées dans l’attaque.
Le précédent canadien ne normalise donc pas l’accès à distance par l’État. Il fixe plutôt les conditions dans lesquelles une intervention technique sur des systèmes tiers peut être envisagée lorsqu’ils participent à une infrastructure malveillante. C’est précisément cette frontière qui rend la décision importante : elle autorise une action cyber active, mais seulement parce qu’elle est juridiquement traçable.
