Actions du Centre national de cybersécurité néerlandais et 17 millions d'appareils : ce que les entreprises doivent préparer

La Politie néerlandaise et le Centre national de cybersécurité (NCSC) ont récemment mené une frappe coordonnée contre une infrastructure massive de botnets. Cette opération a impliqué la saisie de plus de 200 serveurs situés aux Pays-Bas. Ces serveurs servaient de backend à un réseau qui avait asservi 17 millions d'appareils dans le monde. L'ampleur de ce démantèlement est un avertissement pour tout RSSI qui s'appuie sur la réputation IP traditionnelle pour la défense périmétrique.

J'ai vu de nombreux botnets au cours des deux dernières décennies, mais la nature de ce réseau spécifique est différente. Il s'inscrit dans une tendance croissante où services légitimes et intentions malveillantes coexistent dans le même espace architectural. Des rapports lient cette infrastructure à Asocks, un fournisseur de proxys résidentiels. Le lien entre Asocks et la campagne PROXYLIB identifiée par l'équipe HUMAN Satori illustre un changement clair dans le modèle de menace. Les attaquants n'ont plus besoin de construire leurs propres systèmes de distribution sur mesure lorsqu'ils peuvent simplement acheter l'accès à des millions d'adresses IP résidentielles propres via un abonnement commercial.

La mécanique du botnet de proxys résidentiels

Pour comprendre le risque, il faut comprendre comment ces 17 millions d'appareils ont rejoint le réseau. Dans la campagne PROXYLIB, les logiciels malveillants arrivaient souvent sur les appareils Android via des SDK de proxyware tels que LumiApps. Ces SDK sont souvent intégrés dans des applications apparemment inoffensives. Une fois que l'utilisateur installe l'application, l'appareil devient un nœud du réseau Asocks. La bande passante de l'utilisateur est vendue à un tiers. Bien que l'utilisateur puisse voir cela comme un moyen de gagner quelques centimes ou d'accéder à une application gratuite, la réalité est que son appareil facilite désormais un trafic malveillant.

La plateforme Asocks annonçait l'accès à ces appareils pour seulement 5 $ par mois. Cette faible barrière à l'entrée modifie l'économie d'une attaque. Dans mon expérience d'audit de réseaux d'entreprise, je constate un volume important de tentatives de bourrage d'identifiants (credential stuffing) et de scraping. Lorsque ces tentatives proviennent d'un centre de données, elles sont faciles à bloquer. Lorsqu'elles proviennent de 17 millions d'appareils résidentiels uniques, vos règles WAF traditionnelles deviennent un handicap. Un appareil résidentiel bénéficie d'une réputation élevée par défaut car il ressemble à un client légitime.

Remettre en question l'hypothèse de la confiance résidentielle

L'hypothèse la plus dangereuse en cybersécurité aujourd'hui est que le trafic provenant des FAI résidentiels est intrinsèquement plus sûr que le trafic provenant des centres de données ou des VPN. Pendant des années, les fournisseurs de sécurité ont vendu l'idée que « résidentiel » est égal à « humain ». Ce démantèlement prouve que 17 millions d'appareils résidentiels faisaient partie d'une infrastructure criminelle. Je soutiens que nous devons inverser notre modèle de confiance. Une adresse IP résidentielle est désormais un signal à haut risque lorsqu'elle se comporte de manière automatisée.

La plupart des architectures de sécurité héritées utilisent la limitation de débit basée sur l'IP (rate limiting). Si une IP envoie trop de requêtes, le système la bloque. Cependant, avec un pool de 17 millions d'appareils, un attaquant peut faire pivoter les IP pour chaque requête individuelle. Aucune IP ne dépasse jamais le seuil de limitation de débit. L'attaque reste invisible pour les outils de surveillance de base. Cette asymétrie d'accès permet aux attaquants de rester furtifs tout en menant des opérations à grande échelle. Si votre stratégie de défense repose sur l'identification des « mauvaises » IP, vous menez une bataille que vous avez déjà perdue.

Implications architecturales pour l'entreprise

La suppression de 200 serveurs aux Pays-Bas apporte un soulagement temporaire, mais la vulnérabilité sous-jacente demeure. Les appareils sont toujours dans la nature. Le logiciel malveillant est toujours présent sur des millions de tablettes, smartphones et appareils IoT. Ce que cela signifie pour votre architecture, c'est que le périmètre n'est plus un filtre : c'est une passoire.

Nous devons évoluer vers un modèle de vérification comportementale. Au lieu de demander « D'où vient cette requête ? », le système doit demander « Que fait cette requête ? ». Cela nécessite une inspection approfondie du comportement au niveau de la couche applicative. Si une IP résidentielle accède à une API à une fréquence ou dans une séquence qui ne correspond pas au comportement humain typique, le système doit déclencher un défi, tel qu'une preuve de travail ou un CAPTCHA sophistiqué.

La micro-segmentation est la seule voie viable pour la défense interne. Si un appareil de votre réseau devient membre d'un botnet comme PROXYLIB, son objectif principal est souvent le mouvement latéral ou l'exfiltration de données. Dans de nombreux environnements d'entreprise, un smartphone infecté sur le Wi-Fi invité a un accès direct au VLAN des serveurs internes. J'ai mené des tests d'intrusion où une seule imprimante IoT compromise a fourni le point d'appui nécessaire pour vider un contrôleur de domaine. Vous devez traiter chaque appareil de votre réseau comme un nœud potentiel d'un botnet de 17 millions de membres.

Le risque caché de l'IoT et des appareils de bord non patchés

Le NCSC a noté que les botnets accèdent souvent via des appareils de bord non patchés et des mots de passe faibles. C'est l'hygiène de base que de nombreuses organisations ignorent encore. Les routeurs et les appareils IoT sont les maillons les plus faibles car ils manquent souvent de la télémétrie présente sur les postes de travail gérés. Un ordinateur portable dispose d'un agent EDR ; un thermostat intelligent non.

En tant que RSSI, j'ai constaté que la partie la plus difficile de la sécurité n'est pas l'exploit complexe de type zero-day. Ce sont les milliers de petits appareils non gérés qui s'accumulent lentement sur le réseau. Chacun est un nœud proxy potentiel. Lorsque les autorités néerlandaises ont démantelé le backend d'Asocks, elles n'ont pas réparé les appareils vulnérables. Elles ont seulement supprimé le mécanisme de commande et de contrôle (C2). De nouveaux acteurs malveillants scanneront inévitablement ces mêmes vulnérabilités pour construire le prochain réseau.

Plan d'action pour les 12 prochains mois

La survie dans cet environnement dépend de la capacité à se déplacer plus vite que les attaquants ne peuvent faire pivoter leur infrastructure. Je recommande aux RSSI et CTO les étapes suivantes au cours de l'année à venir pour faire face au risque systémique posé par les botnets de proxys massifs.

• Auditer les règles de réputation IP externes : Examinez vos paramètres WAF et d'atténuation des bots. Si vous avez mis sur liste blanche des plages d'IP résidentielles ou si vous les traitez avec moins de rigueur, supprimez ces règles immédiatement. Implémentez une approche « toujours vérifier » quelle que soit la réputation de l'IP source.
• Mettre en œuvre le fingerprinting au niveau applicatif : Déployez des outils capables d'identifier les navigateurs automatisés et les bots en fonction de leurs modèles d'exécution plutôt que de leurs adresses IP. Recherchez les incohérences dans les poignées de main TLS et les en-têtes HTTP.
• Appliquer une micro-segmentation stricte : Isolez les appareils IoT et invités des environnements de production. Utilisez une architecture Zero Trust où chaque connexion interne nécessite une authentification et une autorisation explicites. Un smartphone compromis ne doit pas avoir la capacité de scanner le réseau interne.
• Rechercher les proxywares sur les actifs de l'entreprise : Utilisez les outils EDR et MDM pour rechercher les SDK de proxyware connus et les applications qui offrent un « revenu passif » pour le partage de bande passante. Créez une politique qui interdit explicitement ces applications sur tout appareil accédant aux données de l'entreprise.
• Renouveler les identifiants de bord et mettre à jour les firmwares : Effectuez un audit complet de tous les appareils de bord, y compris les routeurs de bureau à domicile utilisés par les employés à distance. Assurez-vous qu'ils disposent du dernier firmware et que les mots de passe par défaut sont remplacés par des chaînes complexes et uniques.
• Surveiller le trafic sortant pour les modèles de proxy : Recherchez les connexions sortantes inhabituelles vers des domaines de fournisseurs de proxys connus ou des infrastructures backend. Des volumes importants de trafic sortant provenant d'un appareil IoT de faible puissance sont un indicateur clair de compromission.

Une nouvelle réalité de résilience des infrastructures

Les autorités néerlandaises ont rendu service à la communauté mondiale en démantelant ce botnet spécifique. Cependant, nous devons considérer cela comme une seule bataille dans une longue guerre d'usure. Les 17 millions d'appareils impliqués représentent une surface d'attaque massive qui reste vulnérable à la prochaine campagne.

L'architecture est la seule solution permanente. Vous ne pouvez pas patcher tous les appareils du monde, et vous ne pouvez pas arrêter chaque infection par un logiciel malveillant. Vous pouvez, en revanche, concevoir vos systèmes de manière à ce qu'une compromission ne mène pas à une catastrophe. En vous concentrant sur le comportement plutôt que sur la réputation et sur la segmentation plutôt que sur les périmètres, vous construisez un réseau qui reste résilient même lorsque le monde est rempli de botnets de 17 millions de nœuds.

Sources :

• Dutch National Cyber Security Center (NCSC)
• Politie (Dutch National Police)
• HUMAN Satori Threat Intelligence Team
• NL Times

Avertissement : Cet article est fourni à des fins d'information et d'éducation uniquement et ne remplace pas un audit professionnel de cybersécurité ou un service de réponse aux incidents.