On répète depuis des mois qu’il faut mettre à jour ses box, routeurs et objets connectés pour éviter les botnets, sans toujours expliquer comment vérifier si l’on héberge déjà un bot. GreyNoise tente d’apporter une réponse avec IP Check, un outil en ligne gratuit.
Les récentes attaques DDoS contre La Poste, fin décembre 2025 et début janvier 2026, reposaient sur des milliers d’équipements détenus par des particuliers, peu ou pas mis à jour, enrôlés dans un réseau distribué pour saturer des services à distance. En bref, un botnet. GreyNoise, société de cybersécurité spécialisée dans l’observation du trafic de scan, exploite justement ce type de signaux à grande échelle. Avec IP Check, elle ouvre une partie de cette visibilité au grand public et permet de vérifier en quelques secondes si la connexion domestique est impliquée dans ce type d'activité malveillante.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Quand votre IP se met à scanner le web
Dans le détail, GreyNoise s’appuie sur son propre réseau mondial de capteurs, qui enregistrent en continu les connexions entrantes sur Internet. L’entreprise recueille ainsi les traces des scans automatisés lancés par des botnets et des réseaux de proxies résidentiels, utilisés pour repérer les services exposés en ligne.
IP Check s’appuie sur ces données pour proposer aux internautes un outil de vérification de leurs adresses IP, facile à utiliser. Depuis le navigateur, le service récupère l’IP publique avec laquelle on apparait sur Internet, la compare à son historique récent et vous indique si elle a déjà été observée dans ses enregistrements.
Le statut « Clean » signifie que GreyNoise n’a pas associé cette adresse à des activités de scan malveillant au cours des trois derniers mois. Cela ne suffit pas à certifier que le réseau est parfaitement sain, mais c’est plutôt bon signe.
Dans l’autre cas, un encadré signale que « Your IP is in the GreyNoise database ». L’outil précise alors que l’adresse a été observée par les capteurs de GreyNoise, avec un champ « Classification » qui peut notamment indiquer « unknown » lorsque l’éditeur ne tranche pas entre activité clairement malveillante ou légitime. Pour l’utilisateur ou l’utilisatrice, l’information importante reste le fait que l’adresse IP apparaît dans ces observations, ce qui justifie au minimum de regarder ce qui se passe sur le réseau domestique.
Sous ce bloc, IP Check affiche un calendrier qui récapitule les jours durant lesquels l'adresse a été observée par les capteurs de GreyNoise. Cette vue permet de repérer les périodes d’activité et de les mettre en regard avec des changements concrets, comme l’installation d’une application, d’une extension de navigateur ou la mise en service d’un nouvel équipement.
Lorsque l’on accède au site via un réseau privé virtuel, un bandeau « VPN detected » rappelle que l’adresse analysée est celle du fournisseur VPN et non celle de la box. Dans ce cas, les résultats décrivent surtout l’activité globale de ce point de sortie partagé, et non l’état du réseau domestique. Pour vérifier sa propre connexion, l’idéal est donc de refaire le test sans VPN, directement depuis la ligne que l’on souhaite contrôler.
Que faire si IP Check détecte une activité suspecte
IP Check n’a évidemment pas vocation à jouer le rôle d’un antivirus ou d’un pare-feu en ligne. Il sert surtout d’indicateur pour savoir si votre connexion a participé au bruit de fond qui nourrit les botnets et les campagnes de scan. S’il ne relève rien, on continue à appliquer les bonnes pratiques habituelles, mises à jour régulières du firmware de la box et des équipements réseau, modification des identifiants d’administration par défaut, désactivation des fonctions d’accès à distance qui ne servent pas.
Si l’outil remonte une activité suspecte, on se penche sur le réseau domestique et on cherche ce qui peut poser problème. En toute logique, on commence par les appareils sur lesquels on installe le plus souvent des applications et des extensions, donc les ordinateurs, les smartphones et les tablettes. On lance un scan antimalware avec un outil de confiance, puis on désinstalle les programmes et applis dont on ne connaît pas bien l’origine ou l’utilité, en particulier les services de partage de bande passante, les applications installées hors stores officiels et les extensions de navigateur trop intrusives.
Vient ensuite le tour des équipements réseau et des objets connectés, allumés en permanence et que l’on a tendance à oublier. Box ou routeur, répéteurs Wi-Fi, NAS, boîtiers TV, caméras de surveillance, enceintes connectées, systèmes domotiques, tout ce qui se connecte à Internet doit être passé en revue. Le plus simple consiste à se rendre dans l’interface d’administration de la box ou du routeur pour afficher la liste des appareils connectés et repérer les équipements mal nommés ou inconnus. En cas de doute, on éteint un à un les appareils suspects pour voir lesquels disparaissent de la liste et associer chaque entrée à un objet précis.
Une fois ce tri effectué, on vérifie chaque équipement. On met à jour le firmware lorsque le constructeur en propose, on change les mots de passe d’administration, on désactive les options d’accès à distance non utilisées, on supprime les redirections de ports inutiles dans les menus de la box ou du routeur. On en profite aussi pour renforcer le Wi-Fi, avec un mot de passe plus solide, on désactive les réseaux invités ou obsolètes qui ne servent plus, et on coupe l’UPnP ou le WPS s’ils sont toujours actifs. Si l’appareil le permet, une réinitialisation aux paramètres d’usine peut servir de base propre, à condition de reprendre ensuite la configuration en soignant les réglages Wi-Fi et l’administration.
Enfin, dans la mesure du possible, on remplace en priorité les appareils et objets connectés qui ne reçoivent plus de mises à jour ou qui offrent peu d’options de sécurité. À défaut, on peut les isoler sur un réseau invité séparé du réseau principal, avec un accès limité aux autres équipements. Quelques jours plus tard, on relance un test IP Check pour vérifier que l’adresse IP ne réapparaît plus dans les activités de scan.
Source : GreyNoise
