Après le démantèlement technique de Kimwolf en mars, les autorités passent au volet judiciaire. Un Canadien de 23 ans, soupçonné d’avoir administré ce botnet géant, a été arrêté à Ottawa et attend désormais son éventuelle extradition vers les États-Unis.
Après avoir neutralisé les serveurs, les noms de domaine et les infrastructures de commande de Kimwolf, les autorités ont fini par remonter la piste humaine. Le botnet aux près de 2 millions d’appareils infectés a désormais un visage présumé, celui de Jacob Butler, alias Dort, arrêté au Canada à la demande de la justice états-unienne. Les enquêteurs l’accusent d’avoir exploité le réseau comme un service de DDoS à louer, utilisé pour lancer des dizaines de milliers d’attaques contre des cibles publiques et privées.
Des logs, des comptes, des transactions et un suspect
Fin de partie, donc, pour Jacob Butler, 23 ans, interpellé mercredi dernier à Ottawa sur mandat d’extradition. Selon la plainte pénale rendue publique dans le district d’Alaska, les autorités l’auraient relié au botnet grâce à un ensemble d’éléments techniques, financiers et conversationnels, dont des adresses IP, des comptes en ligne, des transactions et des échanges privés.
Dans le détail, le suspect est poursuivi pour aide et complicité d’intrusions informatiques, une accusation passible de dix ans de prison au maximum aux États-Unis. Il est soupçonné d’avoir vendu l’accès à Kimwolf selon un modèle de cybercriminalité à la demande, permettant à d’autres groupes ou individus de lancer des attaques DDoS contre des serveurs et infrastructures en ligne.
D’après les documents judiciaires, le botnet aurait émis plus de 25 000 commandes d’attaque, dont certaines ont atteint près de 30 Tbit/s, et causé des pertes dépassant le million de dollars pour plusieurs victimes. En parallèle, la justice états-unienne a aussi fait saisir des services en ligne associés à 45 plateformes de DDoS à louer, dont une au moins aurait exploité l’infrastructure de Kimwolf.
Mirai, Aisuru, Kimwolf et la fabrique des attaques records
L’arrestation de Jacob Butler s’inscrit dans la continuité de l’opération menée en mars 2026 contre Kimwolf et plusieurs botnets associés, à savoir Aisuru, JackSkid et Mossad. À l’époque, les autorités états-uniennes, allemandes et canadiennes avaient annoncé la saisie d’infrastructures de commande et de contrôle utilisées par ces réseaux, accusés d’avoir compromis plus de 3 millions d’appareils IoT au total, dont environ 2 millions pour Kimwolf seul.
Pour rappel, Kimwolf est une variante de Mirai, dont le code source publié en 2016 continue d’alimenter des générations de botnets taillés pour les attaques DDoS. Le réseau piochait dans le grand bric-à-brac de l’IoT domestique, en grande partie des équipements grand public rarement mis à jour, et donc mal sécurisés. Enregistreurs vidéo, boîtiers Android TV, cadres photo numériques ou routeurs Wi-Fi servaient ainsi de relais à des attaques massives, sans que leurs propriétaires en aient forcément conscience.
Avant l’intervention coordonnée de mars, Lumen avait déjà documenté ses propres efforts pour perturber l’activité de Kimwolf et d’Aisuru, régulièrement rapprochés par les chercheurs en raison de leurs liens techniques et opérationnels. Cloudflare avait aussi associé ce même duo à plusieurs attaques DDoS hyper-volumétriques entre fin 2025 et début 2026, période durant laquelle les records se sont enchaînés les uns après les autres.
Un botnet IoT est un réseau d’objets connectés (caméras, routeurs, boîtiers TV, etc.) compromis à l’insu de leurs propriétaires et pilotés à distance. Chaque appareil fournit un peu de bande passante et de capacité d’envoi de paquets, mais l’addition de centaines de milliers (voire de millions) de nœuds devient massive. En DDoS, cette “force du nombre” sert à saturer les liens réseau, les équipements (pare-feu, load balancers) ou les applications d’une cible jusqu’à rendre le service indisponible. Les objets grand public sont souvent des proies faciles car ils restent longtemps avec des mots de passe par défaut, des firmwares vulnérables ou des mises à jour inexistantes. Cette inertie de sécurité transforme l’IoT en réservoir durable pour des attaques à très grande échelle.
À quoi sert une infrastructure de commande et de contrôle (C2) dans un botnet ?Le C2 (commande et contrôle) est le “poste de pilotage” qui envoie des ordres aux machines infectées : qui attaquer, quand, avec quelle méthode et à quel volume. Il peut reposer sur des serveurs, des domaines et parfois des mécanismes de secours (redondance, bascule, listes d’IP) pour résister aux coupures. Neutraliser un botnet consiste souvent à perturber ce C2 : saisie de serveurs, blocage ou reprise de noms de domaine, fermeture d’hébergeurs ou d’intermédiaires. Sans C2 fonctionnel, les appareils restent compromis mais deviennent beaucoup moins utiles, car ils ne reçoivent plus les instructions coordonnées. Les opérateurs peuvent toutefois tenter de reconstruire un C2 ailleurs, d’où l’importance d’opérations simultanées et internationales.
Que signifie “DDoS à louer” et comment ce modèle fonctionne-t-il côté cybercriminalité ?Le “DDoS à louer” (booter/stresser) est un modèle où un opérateur vend l’accès à une capacité d’attaque, généralement via un portail web, des formules et des paiements en ligne. Le client n’a pas besoin de compétences poussées : il choisit une cible, une durée et parfois un type d’attaque, puis le service déclenche l’opération en arrière-plan. Techniquement, ce modèle industrialise l’usage des botnets en les transformant en infrastructure mutualisée, monétisée par abonnement ou à la demande. Cela abaisse fortement la barrière d’entrée pour des attaques contre des services publics, des entreprises ou des plateformes en ligne. Les saisies de services associés visent autant l’infrastructure que l’écosystème commercial qui la rend accessible.
