Ce qui a été démantelé
Le 2 juillet 2026, le Threat Intelligence Group de Google, avec le FBI, Lumen, la Shadowserver Foundation et l'IRS Criminal Investigation, a agi contre NetNut, un réseau de proxys résidentiels que Google suit aussi sous le nom de Popa et estime à au moins 2 millions d'appareils dans le monde. Google a désactivé les comptes et services que le réseau utilisait pour sa commande et son contrôle, partagé les détails techniques de ses SDK cachés avec les plateformes et les chercheurs, et mis à jour Play Protect pour avertir les utilisateurs et désactiver les applications porteuses du code. Le FBI a saisi des centaines de domaines, dont netnut.com, qui affiche aujourd'hui une bannière fédérale de saisie. L'enquête de Krebs on Security relie le service à Alarum Technologies, société cotée au Nasdaq, dont l'avocat a déclaré qu'elle prenait l'affaire au sérieux et coopérerait pleinement avec les autorités. C'est la deuxième action de ce type cette année, après le réseau IPIDEA en janvier, et Google affirme que l'opération a déjà réduit de plusieurs millions le parc d'appareils disponible.
La fin de l'IP suspecte
Un réseau de proxys résidentiels loue des connexions domestiques ordinaires, si bien que le trafic de l'attaquant arrive avec l'adresse du salon d'une famille plutôt que celle d'un centre de données étranger. C'est précisément pour cela qu'il se vend. En une semaine de juin, Google a compté 316 groupes hostiles distincts, criminels comme étatiques, utilisant des sorties présumées NetNut pour masquer leur provenance, mener des attaques par pulvérisation de mots de passe et, parfois, pivoter du logiciel proxy vers d'autres appareils du même réseau domestique. Pour une entreprise française, cela brise une hypothèse silencieuse ancrée dans une décennie d'outils de sécurité : que le trafic dangereux a l'air dangereux. Quand la tentative de connexion contre vos comptes vient d'une adresse résidentielle de votre propre pays, le blocage géographique et les listes de réputation IP ne réagissent pas. Les contrôles qui fonctionnent encore sont ceux qui n'ont jamais fait confiance aux adresses : authentification multifacteur partout, limitation par compte plutôt que par IP, et alertes sur le comportement plutôt que sur l'origine.
Vos appareils sont la marchandise
L'autre moitié de l'histoire, c'est l'origine de ces 2 millions de sorties : des logiciels préinstallés sur des téléviseurs et boîtiers sans marque avant l'achat, et des SDK cachés dans des applications qui rémunèrent leurs développeurs avec votre bande passante inutilisée. Le propriétaire de l'appareil sait rarement qu'il est devenu une infrastructure, mais c'est son adresse qui apparaît dans les journaux de la victime. Cela fait de l'achat d'appareils un contrôle de sécurité et non une préférence de consommation, dans l'esprit des recommandations de l'ANSSI sur l'hygiène du foyer connecté : équipements certifiés de fabricants sérieux, applications des seules boutiques officielles et un non ferme à tout ce qui offre de l'argent contre un partage d'internet. Cela recadre aussi l'opération elle-même. La répression passe de l'arrestation de pirates isolés au démontage des marchés gris d'infrastructure qu'ils louent, et celui-ci, notent les chercheurs, tournait au sein d'une société cotée. Quand le crime circule sur une infrastructure de masse, c'est la discipline sans éclat qui protège : savoir ce qui est branché sur son réseau et partir du principe qu'une adresse ne prouve rien.
À lire ensuite: Un modèle de frontière retiré est de nouveau en ligne · Votre agent IA fait confiance à un outil piégé



