Deux millions de téléviseurs et boîtiers détournés, 316 groupes malveillants servis en une seule semaine, et au sommet de la pyramide, une entreprise bien cotée au Nasdaq. Google vient de frapper NetNut, et le dossier est épais.

Votre téléviseur connecté mène peut-être une double vie, et pas au sens figuré : pendant que vous regardez votre série, sa connexion peut servir de relais à de parfaits inconnus. C'est tout l'objet de l'opération annoncée par le Google Threat Intelligence Group, épaulé par le FBI et l'opérateur Lumen : la dégradation de l'infrastructure de NetNut, un fournisseur de proxies résidentiels dont le réseau s'appuyait sur près de 2 millions d'appareils domestiques, téléviseurs intelligents et boîtiers de streaming en tête. Derrière le jargon se cache un marché discret mais lucratif : la revente de connexions de particuliers à des clients qui préfèrent ne pas surfer sous leur vraie adresse.
Deux millions d'appareils domestiques débranchés du circuit
L'opération, coordonnée sur plusieurs semaines, a retiré plusieurs millions d'appareils du réservoir exploitable par le réseau, que certains chercheurs suivent aussi sous le nom de Popa. Sur une seule semaine de juin, les équipes de Google ont recensé 316 grappes d'activité malveillante distinctes derrière les nœuds de sortie de NetNut, des attaques par mot de passe aux opérations d'espionnage attribuées à des États. Autrement dit, des centaines de groupes différents payaient pour emprunter les adresses IP de foyers ordinaires.
Le volet judiciaire a aussi offert son feuilleton : le FBI et le fisc américain ont saisi des centaines de domaines liés au réseau, et netnut.com affiche désormais la bannière de rigueur. Sauf que le site commercial principal du service, hébergé à l'adresse netnut.io, est resté parfaitement accessible pendant que la communauté découvrait la nouvelle, de quoi déclencher des moqueries immédiates (certains y ont vu l'une des saisies de domaine les plus ratées de l'histoire du bureau). La réalité semble toutefois moins cruelle pour les agents fédéraux : d'après Krebs on Security, la saisie du .io serait simplement en cours et demanderait plus de temps. L'infrastructure technique du réseau, elle, paraît bel et bien à terre.
La question du consentement de ces foyers est précisément celle qui fâche, et les chercheurs de Synthient ont mené l'expérience la plus parlante pour la trancher : du trafic injecté côté client, dans la passerelle commerciale de NetNut, est ressorti par un appareil enrôlé dans Popa, établissant le lien entre la vitrine et la tuyauterie. Même équipe, autre constat : sur plus de vingt applications examinées parmi celles qui enrôlent les appareils, aucune n'affichait la moindre demande d'autorisation. Le propriétaire du téléviseur ignore donc tout du rôle de relais que joue son salon.
Une vitrine légale au Nasdaq, une tuyauterie opaque
Un proxy résidentiel fonctionne comme une sous-location de boîte aux lettres : un inconnu expédie son courrier depuis chez vous, et c'est votre nom qui figure sur l'enveloppe. L'intérêt commercial est réel et parfois légitime, la vérification de publicités ou la comparaison de prix par exemple. Le revers l'est tout autant : quand la lettre contient une arnaque, c'est votre adresse que voient les enquêteurs.
Le recrutement des boîtes aux lettres, lui, passe par des briques logicielles glissées dans des applications grand public, souvent gratuites, parfois présentées comme des programmes de « bande passante rémunérée ». L'utilisateur installe un utilitaire quelconque sur son téléviseur ou son boîtier, et son adresse rejoint le catalogue sans qu'aucun écran ne l'en avertisse.
NetNut appartient à Alarum Technologies, une société israélienne cotée au Nasdaq (difficile de faire plus officiel qu'un symbole boursier). L'entreprise conteste vigoureusement le qualificatif de botnet employé par Google et défend un modèle de partage de bande passante librement consenti par les utilisateurs. Son conseil juridique assure par ailleurs une coopération pleine et entière avec les autorités pour faire la lumière sur tout usage abusif de l'infrastructure.
Le montage se complique encore d'un étage avec le programme de revendeurs qu'alimente NetNut : des dizaines de marques de proxies en apparence indépendantes, avec leurs propres sites et leurs propres tarifs, puisent en réalité dans le même réservoir d'adresses. Fermer une enseigne ne ferme donc rien du tout, le stock d'IP reste disponible sous un autre nom dès le lendemain. Voilà pourquoi Google parle de dégradation plutôt que de démantèlement : on assèche le réservoir, on ne rase pas la façade.
Badbox, IPIDEA, NetNut : la troisième frappe en un an
Google ne découvre pas le terrain, loin de là : en juillet 2025, l'entreprise attaquait en justice les opérateurs du botnet Badbox 2.0, ce malware préinstallé sur des appareils Android bon marché qui avait valu une alerte officielle du FBI après plus d'un million d'infections. En janvier dernier, rebelote avec la saisie de l'infrastructure du réseau IPIDEA, un courtier qui achetait du trafic à d'autres réseaux douteux. NetNut complète le triptyque, avec une nuance de taille : cette fois, la cible ne se cache pas dans l'ombre, elle publie des résultats trimestriels.
Ces opérations successives dessinent une guerre d'usure plus qu'une victoire définitive. Les réseaux de proxies se rachètent de la capacité entre eux, les revendeurs changent d'étiquette, et les appareils compromis restent branchés dans les salons. Chaque frappe renchérit toutefois le coût du service et dégrade sa fiabilité, ce qui reste la manière la plus efficace de décourager la clientèle criminelle.
L'Europe, dans cette partie, n'a rien d'une spectatrice : fin 2024, l'office fédéral allemand de la cybersécurité découvrait 30 000 appareils pré-infectés rien qu'outre-Rhin, et les boîtiers sans certification qui alimentent ces réseaux restent en vente libre sur les grandes places de marché en ligne, France comprise. Aucune frontière ne protège une adresse IP française : le recrutement se joue dans les usines et les boutiques d'applications, pas sur une carte.
Côté salon, justement, quelques réflexes suffisent à limiter les dégâts, et le premier concerne les applications qui promettent de « rémunérer votre bande passante inutilisée » (le paiement se fait rarement en euros, souvent en ennuis). Méfiance également envers les boîtiers de streaming à prix cassé vendus sans certification, terrain de jeu favori de ces réseaux, et envers les boutiques d'applications alternatives. Passer par les magasins officiels, laisser Play Protect activé et privilégier du matériel de marque connue ferme l'essentiel des portes d'entrée. Pour les inquiets, un outil gratuit permet de vérifier si votre adresse IP a déjà été repérée dans ce genre de trafic.