Les 2 et 3 juillet 2026, le FBI, l'IRS Criminal Investigation et le Google Threat Intelligence Group ont conjointement démantelé NetNut — l'un des plus grands réseaux de proxies résidentiels au monde. Derrière la belle enseigne d'un « fournisseur légal » se cachait le botnet Popa composé de plus de 2 millions d'appareils domestiques piratés : Smart TV, décodeurs et gadgets Android. C'est déjà le deuxième démantèlement public d'un acteur majeur du marché en six mois — et cela trace une ligne claire entre un proxy résidentiel honnête et une infrastructure criminelle.
Que s'est-il passé exactement
Le 2 juillet, le Google Threat Intelligence Group (GTIG) a désactivé les comptes et services Google que NetNut utilisait pour gérer le botnet (command-and-control). Parallèlement, le FBI, avec l'aide de l'IRS Criminal Investigation, a saisi des centaines de domaines liés au réseau. Le domaine principal netnut.com redirige maintenant vers un avis de confiscation du FBI, tandis que le domaine netnut.io a changé de serveur DNS pour un ns1.fbi.seized.gov caractéristique. Des marques associées ont également été saisies — proxyjet.io et divinetworks.com.
NetNut est soutenu par la société israélienne cotée en bourse Alarum Technologies Ltd (NASDAQ: ALAR) — il ne s'agit donc pas d'un groupe clandestin, mais d'une entreprise cotée. L'avocat de la société, Omer Weiss, a déclaré que « Alarum prend la situation très au sérieux et coopérera pleinement avec les autorités pour que tout abus de son infrastructure soit soigneusement enquêté ».
Selon Google, les actions coordonnées ont causé « des dommages significatifs au réseau proxy NetNut et à son entreprise, réduisant le pool d'appareils disponibles de l'opérateur de millions ». C'est un scénario classique : en janvier 2026, Google avait déjà démantelé un réseau concurrent, IPIDEA, de manière similaire.
Comment un botnet de 2 millions de téléviseurs se faisait passer pour des « proxies résidentiels »
Le botnet Popa agissait au moins depuis 2020. Les appareils entraient dans le réseau par trois voies :
- Applications trojanisées. Les utilisateurs téléchargeaient des applications IPTV, de streaming et « utilitaires » apparemment inoffensives, dans lesquelles un proxy-SDK était caché. C'est ainsi qu'agissait également le grand botnet Badbox 2.0, dont les plugins étaient liés à NetNut.
- Préinstallation en usine. Certains Smart TV et décodeurs bon marché arrivaient chez l'acheteur avec un code proxy déjà intégré — l'appareil devenait un exit-node dès son déballage.
- Vitrines d'applications infectées. L'ampleur du problème est énorme : selon les chercheurs, le proxy-SDK était présent dans 42 % des applications pour LG webOS et plus de 26 % des applications pour Samsung Tizen.
Au final : des millions d'adresses IP domestiques réelles, indiscernables d'un utilisateur « vivant », — exactement ce pour quoi le marché paie une prime. Sauf que les propriétaires de ces téléviseurs n'acceptaient rien et ne recevaient pas d'argent.
316 groupes en une semaine : à quoi cela servait
Le chiffre le plus préoccupant du rapport GTIG : en une seule semaine de juin 2026, Google a enregistré 316 clusters de menaces distincts émanant des nœuds de NetNut. C'était un mélange de cybercriminels et de groupes liés à l'espionnage. Les principaux scénarios :
- Password spraying. Les attaquants testaient des mots de passe volés et devinés, étalant les tentatives de connexion sur des milliers d'IP résidentielles différentes. Les systèmes de surveillance des connexions ne voient pas un volume anormal provenant d'une seule source — la protection classique « par nombre de tentatives depuis une IP » devient aveugle.
- Masquage lors des attaques. L'IP résidentielle cachait la véritable localisation lors de l'accès à des environnements compromis des victimes et à l'infrastructure des malfaiteurs.
- Prise de contrôle de comptes, fraude publicitaire et scraping de masse — sous couvert d'adresses « domestiques ».
Un danger particulier pour les propriétaires d'appareils infectés : le trafic étranger passant par votre téléviseur est lié à votre IP. Vos demandes légitimes peuvent être marquées comme suspectes et bloquées par des services voisins — et l'attaquant peut, s'il le souhaite, obtenir un point d'ancrage dans votre réseau domestique.
Pourquoi cela impacte tout le marché des proxies
NetNut ne se contentait pas de vendre, mais fonctionnait également selon un modèle whitelabel : de nombreuses « marques » populaires de proxies résidentiels revendaient en réalité son infrastructure sous leur propre nom. Le GTIG décrit directement la mécanique du marché par cette citation : « Lorsque le botnet de l'opérateur se dégrade, les opérateurs de proxies commencent à acheter de la capacité chez des concurrents, devenant ainsi des revendeurs ». Ainsi, sous une belle enseigne étrangère, vous pouviez, sans le savoir, utiliser les mêmes téléviseurs piratés.
Un deuxième échec systémique — KYC faible. Il était possible d'acheter l'accès à l'infrastructure sans fournir de nom réel, ce qui a ouvert la porte à des centaines de clusters criminels. Même la partie « propre » de l'entreprise a souffert : NetNut avait une branche DiviNetworks avec des proxies ISP sous des contrats directs avec des fournisseurs (c'est un modèle légitime), mais lors du démantèlement du réseau, tout a été touché.
Pour l'utilisateur honnête, la conclusion est simple : l'origine des adresses IP n'est pas une « éthique » abstraite, mais une question de votre résilience opérationnelle. Un fournisseur de botnet peut être saisi en une nuit, son pool d'adresses est empoisonné par la réputation de centaines de malfaiteurs, et le simple fait d'utiliser un tel réseau représente un risque juridique. C'est pourquoi il est crucial de comprendre la différence entre les types de proxies et leur source : comment fonctionnent les proxies résidentiels et les proxies mobiles, et quand pour une tâche il suffit d'avoir des proxies serveurs rapides et prévisibles sans tout ce drame résidentiel.
Comment distinguer un proxy résidentiel honnête d'un botnet
Le démantèlement de NetNut est une bonne occasion de revoir la liste de contrôle pour choisir un fournisseur. Voici sur quoi se concentrer :
- Origine transparente des IP. Les adresses résidentielles et ISP légitimes proviennent soit de contrats directs avec des fournisseurs, soit d'un consentement clairement formulé des utilisateurs pour une compensation réelle. Si le fournisseur est évasif sur la source du pool — c'est un drapeau rouge.
- Aucun « paiement pour le trafic inutilisé ». Google appelle clairement à éviter les applications qui proposent de payer pour « partager Internet » ou « bande passante inutilisée » — c'est le principal vecteur d'infection des proxies botnet. Si votre réseau proxy se nourrit de telles applications, vous faites partie du problème.
- KYC réel et règles d'utilisation. Un fournisseur qui ne demande pas qui vous êtes et pourquoi, vend tout aussi facilement l'accès à vous qu'à un groupe de password-spraying.
- Résilience du pool. Les adresses exposées dans des centaines d'attaques se retrouvent rapidement sur les listes noires des systèmes anti-fraude. Un pool propre et géré passe plus facilement là où le botnet a déjà échoué.
Nous avons déjà examiné en détail comment fonctionnent ces réseaux d'ombre du point de vue des appareils infectés, dans l'article sur Smart TV comme exit-node de proxies résidentiels — l'histoire de NetNut est exactement ce scénario, amené à sa conclusion logique avec le mandat du FBI.
Qu'est-ce que cela change en pratique
Pour les équipes qui effectuent du web scraping, du multi-comptes, de l'automatisation SMM ou qui contournent simplement les géo-restrictions, le principal signal est le suivant : le marché des proxies résidentiels subit une « assainissement » douloureuse. En six mois, deux grands réseaux ont été publiquement démantelés (IPIDEA en janvier, NetNut en juillet), et Google déconnecte méthodiquement l'infrastructure C2 tout en avertissant les utilisateurs via Play Protect. Les « résidents venus de nulle part » bon marché ne sont pas une bonne affaire, mais une mine à retardement : le réseau peut être déconnecté, le pool est empoisonné, et le lien avec le trafic criminel crée des risques réputationnels et juridiques.
C'est celui qui considère les proxies comme une infrastructure, et non comme un consommable gris : qui choisit un fournisseur transparent, comprend l'origine des adresses et choisit le type approprié pour chaque tâche — résidentiel là où un IP « vivant » est nécessaire, mobile pour les plateformes les plus sensibles, serveur là où la vitesse et le prix sont importants. L'assainissement du marché est désagréable sur le moment, mais à long terme, cela rend le travail honnête plus résilient — et ramène les téléviseurs à leurs propriétaires.
```