Jeudi, le parquet de Paris a annoncé qu'une vaste opération judiciaire internationale a permis de mettre hors ligne SocksEscort, un service de proxy cybercriminel qui s'appuyait sur un million de box internet infectées dans le monde entier.
Les autorités judiciaires française, américaine et néerlandaise ont annoncé, jeudi, avoir coordonné une opération d'envergure contre SocksEscort, l'un des plus grands réseaux de proxys cybercriminels jamais démantelés. L'action, qui a eu lieu la veille, le mercredi 11 mars 2026, a mis fin à un service derrière lequel se cachait le malware AVRecon, qui infectait en silence des modems de particuliers depuis 2019. 23 serveurs ont été saisis, ainsi que 5 millions d'euros détournés.
Le malware AVRecon transformait des box internet en relais cybercriminels
En surface, SocksEscort ressemblait à n'importe quel fournisseur de proxys résidentiels. Ses clients payaient pour louer des adresses IP domestiques, histoire de brouiller les pistes, contourner des géoblocages ou agir dans l'anonymat. Un service présenté comme fiable, constamment mis à jour, et jamais blacklisté. Rassurant, presque professionnel.
Sauf que derrière ces adresses IP se trouvaient de vraies box internet, infectées par le malware AVRecon, actif depuis 2019, et détournées à l'insu total de leurs propriétaires. Ces modems piratés servaient de relais pour les clients du service. Des foyers ordinaires sont devenus les rouages d'une vraie machine cybercriminelle.
Au 4 mars 2026, le site revendiquait encore 35 915 proxys actifs dans 102 pays. Parmi eux, 14 720 aux États-Unis, 5 317 au Royaume-Uni, 695 en Italie et 454 en France. Un catalogue mondial, alimenté en temps réel par un million de machines compromises.
En quelques heures, 23 serveurs saisis et un million de modems déconnectés du réseau
C'est un signal d'alarme venu des États-Unis qui, en juin 2024, a bien fait avancer les choses. Les autorités apprennent alors que des serveurs du réseau criminel seraient hébergés en France. Le parquet de Paris prend l'affaire en main et la confie à l'OFAC, la cellule française dédiée à la lutte contre la cybercriminalité. Mois après mois, ses enquêteurs démêlent l'infrastructure du réseau et portent le dossier devant Eurojust.
Le 17 février 2026, la justice française a ouvert une instruction formelle contre les responsables du réseau. Les charges sont sérieuses : piratage de systèmes informatiques, blanchiment d'argent en bande organisée, association de malfaiteurs. Ces infractions sont passibles de dix ans de prison. Dans le collimateur également, on retrouve Bitsidy, la plateforme de paiement maison, gérée par les mêmes individus et par laquelle ont transité plus de 5 millions d'euros.
Le 11 mars 2026, huit pays agissent de concert au même moment. La France, les États-Unis, les Pays-Bas, l'Allemagne, la Bulgarie, la Roumanie, l'Autriche et la Hongrie frappent en même temps. En quelques heures, 23 serveurs sont mis hors ligne, SocksEscort et Bitsidy disparaissent du web, et un million de modems piratés sont enfin libérés du réseau criminel qui les exploitait.
