Aux États-Unis, le ministère de la Justice affirme avoir mis la main sur le cerveau derrière Rapper Bot, l’un des botnets les plus puissants de ces dernières années.
- Le DoJ américain a identifié et inculpé Ethan Foltz, 22 ans de l’Oregon, suspecté d’avoir développé et loué le botnet Rapper Bot.
- Rapper Bot, actif depuis 2021, aurait compromis des dizaines de milliers d’objets connectés et mené plus de 370 000 attaques DDoS contre 18 000 cibles dans 80 pays.
- Le botnet pouvait générer des attaques jusqu’à plusieurs Tbit/s et un milliard de paquets/s; vérifiez et isolez les appareils sans mises à jour.
Ils l’avaient baptisé Rapper Bot, mais ce botnet n’avait rien d’un freestyle. Actif depuis 2021, il a servi à pilonner des milliers de cibles dans le monde entier à coups d’attaques DDoS. Son administrateur présumé, un homme de 22 ans domicilié dans l’Oregon, vient d’être identifié par les autorités américaines. Inculpé pour complicité d’intrusions informatiques, il est accusé d’avoir développé et loué cette infrastructure de DDoS à la demande à des cybercriminels. Deux semaines après la saisie complète de l’infrastructure, l’affaire vient d’être rendue publique par le ministère américain de la Justice.
Un réseau à louer, alimenté par des objets connectés piratés
À l’origine de l’enquête, on retrouve des attaques répétées d’une ampleur peu commune. Rapper Bot, aussi connu sous les noms de CowBot ou Eleven Eleven, s’est rapidement imposé comme l’un des botnets les plus actifs de ces dernières années, compromettant des dizaines de milliers d’appareils connectés peu sécurisés, notamment des DVR et des routeurs grand public. Une fois enrôlés, ces équipements étaient mis à disposition de clients souhaitant lancer des attaques DDoS sans s’occuper de l’intendance technique.
Derrière ce réseau, le ministère américain de la Justice désigne Ethan Foltz, résident d’Eugene, dans l’Oregon. Selon l’accusation, il aurait non seulement développé l’outil, mais aussi loué l’accès à l’infrastructure à des tiers, moyennant rémunération. L’ensemble a été démantelé le 6 août 2025, lors d’une perquisition conduite dans le cadre d’une opération conjointe baptisée PowerOFF. L’homme de 22 ans est poursuivi pour avoir aidé et encouragé des intrusions informatiques, un chef d’inculpation passible de dix ans d’emprisonnement maximum.
Une force de frappe colossale, utilisée à grande échelle
En remontant la chronologie des attaques, les autorités ont pu dresser un tableau précis de l’ampleur du réseau. Selon les données issues de la plainte pénale et des partenaires techniques de l’enquête (Akamai, AWS, Cloudflare, DigitalOcean, Flashpoint, Google, PayPal, Unit 221B), Rapper Bot aurait mené plus de 370 000 attaques entre avril et août 2025, visant plus de 18 000 entités distinctes dans plus de 80 pays. Parmi les cibles identifiées figurent notamment un réseau gouvernemental américain, une plateforme de réseau social populaire et plusieurs entreprises technologiques.
Côté infrastructure, AWS estime que le botnet s’appuyait sur plus de 45 000 appareils compromis répartis dans 39 pays. Le DoJ évoque une fourchette encore plus large, comprise entre 65 000 et 95 000 machines actives selon les périodes, générant un trafic oscillant entre 2 et 3 térabits par seconde, avec un pic qui aurait même franchi les 6 Tbit/s ainsi que le milliard de paquets par seconde.
Des chiffres qui traduisent une capacité offensive bien supérieure à la moyenne des campagnes DDoS observées ces dernières années. À de tels niveaux d’intensité, une attaque de 30 secondes à plus de 2 Tbit/s peut représenter un coût non négligeable pour les victimes, que le DoJ fixe entre 500 et 10 000 dollars, selon l’ampleur des interruptions de service, les frais de bande passante, les pertes commerciales ou les moyens mobilisés pour y faire face.
Comprendre les mesures d’une attaque DDoS
Quand on parle de DDoS, deux unités reviennent souvent : le débit (en térabits par seconde) et le nombre de paquets par seconde. Le premier mesure le volume global de données envoyées pour saturer la bande passante d’une cible. Le second quantifie la fréquence d’envoi des petits blocs d’informations (les paquets) qui composent ce trafic.
Une attaque peut donc être très volumineuse (plusieurs Tbit/s) ou très dense (plusieurs centaines de millions de paquets par seconde), ou les deux à la fois. Dans le cas de Rapper Bot, les enquêteurs ont relevé un pic à plus de 6 Tbit/s et un milliard de paquets par seconde, ce qui combine deux formes de pression différentes sur l’infrastructure réseau ciblée.
Le démantèlement de Rapper Bot rappelle que les botnets basés sur des appareils connectés mal sécurisés continuent de représenter une menace majeure pour l’infrastructure Internet. Malgré cette opération coup de poing, le modèle reste prolifique, nourri par une abondance de routeurs, box TV et autres objets connectés dotés de firmwares obsolètes, donc faciles à compromettre à grande échelle.
Pour rappel, le botnet BADBOX 2.0, documenté plus tôt cette année, avait déjà mis en lumière cette vulnérabilité structurelle. En infectant massivement des box Android et des appareils low cost dépourvus de certification Google, il avait permis l’enrôlement silencieux de plus d’un million d’appareils à l’échelle mondiale. D’où l’importance de vérifier si vos équipements connectés reçoivent encore des mises à jour. Si ce n’est plus le cas, isolez-les sur un réseau séparé, sans accès aux autres appareils, en attendant de les remplacer.
