Accueil Cyber Proxys résidentiels : Google s’attaque au réseau NetNut

Proxys résidentiels : Google s’attaque au réseau NetNut

Google poursuit son offensive contre les réseaux de proxys résidentiels utilisés pour masquer des activités malveillantes. Après SocksEscort et Ipidea, le groupe a coordonné une action visant NetNut, un réseau présenté comme l’un des plus vastes du marché. Derrière ces opérations, l’enjeu est de priver les attaquants d’infrastructures capables de faire passer leurs connexions pour du trafic domestique ordinaire.

Les proxys résidentiels occupent une place discrète mais centrale dans l’économie cybercriminelle. Contrairement à des serveurs VPN ou à des infrastructures d’hébergement facilement repérables, ils permettent de faire transiter le trafic par des adresses IP attribuées à des particuliers. Pour les attaquants, l’intérêt est évident : rendre leurs opérations plus difficiles à bloquer, contourner certains mécanismes de détection et brouiller l’origine réelle des connexions.

Google a annoncé avoir mené une action coordonnée avec le FBI, Lumen et d’autres partenaires contre NetNut, un opérateur de proxys résidentiels associé à des usages malveillants. Selon Reuters, Google a désactivé des comptes et services liés à des opérations de commande et de contrôle, tout en partageant des renseignements techniques avec les forces de l’ordre et plusieurs acteurs de l’écosystème. L’opération aurait réduit de plusieurs millions le nombre d’appareils disponibles pour le réseau.

Une infrastructure grise de la fraude

NetNut s’inscrit dans une série de perturbations visant des réseaux de proxys résidentiels. Après SocksEscort et Ipidea, il s’agirait du troisième réseau touché depuis le début de l’année. Ces infrastructures peuvent être utilisées pour du balayage réseau, du password spraying, des campagnes de déni de service ou la dissimulation de flux malveillants.

Le mécanisme repose souvent sur des appareils domestiques enrôlés dans des réseaux de proxy, parfois via des kits de développement logiciel intégrés à des applications. Téléviseurs connectés, boîtiers de streaming, routeurs ou objets connectés peuvent ainsi devenir des relais à l’insu des utilisateurs. Pour ces derniers, le risque n’est pas seulement technique : leur adresse IP peut se retrouver associée à du trafic suspect, voire à des activités illégitimes qu’ils n’ont jamais initiées.

Un maillon difficile à neutraliser

Ces démantèlements montrent que les opérations cybercriminelles ne reposent pas uniquement sur des malwares, des vulnérabilités ou des serveurs de commande et de contrôle. Elles dépendent aussi de marchés intermédiaires, capables de fournir de l’anonymisation, de la capacité réseau et des adresses IP difficilement distinguables d’un usage légitime.

La difficulté tient à la plasticité de cet écosystème. Lorsqu’un réseau est perturbé, les opérateurs peuvent chercher d’autres fournisseurs ou reconstituer une partie de leur capacité ailleurs. Pour les défenseurs, l’enjeu consiste donc moins à « faire tomber » un réseau une fois pour toutes qu’à augmenter le coût opérationnel de ces infrastructures et à réduire leur disponibilité pour les attaquants.