Les proxys résidentiels sont devenus un outil très recherché par les cybercriminels. Contrairement aux VPN, qui utilisent généralement des adresses IP appartenant à des centres de données, ils s’appuient sur les connexions Internet de particuliers, beaucoup plus difficiles à détecter et à bloquer par les sites web.
Le plus inquiétant est qu’il n’est plus forcément nécessaire qu’un ordinateur soit infecté par un malware. Une Android TV Box, une box IPTV, un téléviseur connecté, une caméra IP, un routeur, un NAS ou un autre objet connecté vulnérable peut être détourné afin de relayer le trafic Internet de tiers, parfois simplement à cause d’un firmware compromis, d’une application contenant un SDK spécifique ou d’une mauvaise configuration.
Dans ce guide, découvrez ce qu’est un proxy résidentiel, pourquoi les cybercriminels cherchent à exploiter votre connexion Internet, comment des appareils connectés peuvent être transformés en nœuds d’un réseau de proxys résidentiels et les bonnes pratiques pour protéger votre réseau domestique.
Qu’est-ce qu’un proxy résidentiel ?
Un proxy résidentiel est un serveur intermédiaire qui utilise l’adresse IP d’une connexion Internet résidentielle, c’est-à-dire celle d’un particulier, plutôt que celle d’un centre de données ou d’un fournisseur de services cloud.
A lire :
Lorsqu’une personne ou un logiciel utilise un proxy résidentiel, les sites web voient l’adresse IP du particulier et non celle du véritable utilisateur. Les requêtes semblent donc provenir d’un ordinateur ou d’un foyer « normal », ce qui les rend plus difficiles à détecter ou à bloquer.
Le fonctionnement peut être résumé ainsi :

Une IP résidentielle vaut de l’or pour les cybercriminels
En pratique, une adresse IP résidentielle a beaucoup plus de valeur qu’une adresse IP provenant d’un VPN ou d’un centre de données.
En effet, la plupart des services VPN utilisent des adresses IP appartenant à des fournisseurs de cloud ou à des organisations. Ces plages d’adresses sont bien connues des sites web et peuvent être facilement identifiées, voire bloquées.
À l’inverse, une adresse IP résidentielle appartient à un particulier et est fournie par un fournisseur d’accès à Internet (Orange, Free, SFR, Bouygues Telecom, etc.). Pour un site web, cette connexion ressemble donc à celle d’un utilisateur classique naviguant depuis son domicile.
Cette différence permet plus facilement de :
- Contourner les systèmes anti-bot
- Éviter certains CAPTCHA
- Créer de nombreux comptes sur des services en ligne
- Effectuer du web scraping à grande échelle
- Contourner les limitations de débit ou les blocages d’adresses IP
- Masquer l’origine d’activités frauduleuses
- Ad Fraud peut charger et cliquer sur des publicités en arrière-plan pour générer des revenus publicitaires
C’est pourquoi les réseaux de proxys résidentiels sont devenus très recherchés. Plus un service dispose de connexions Internet résidentielles réparties dans différents pays, plus il est capable de faire passer son trafic pour celui de véritables internautes.
Je pense même qu’un petit tableau serait excellent.
| Adresse IP résidentielle | Adresse IP de VPN / Datacenter |
|---|---|
Fournie par un FAI | Appartient à un hébergeur ou un fournisseur VPN |
Ressemble à un particulier | Facilement identifiable comme un VPN |
Plus difficile à bloquer | Souvent présente dans des listes de blocage |
Passe plus facilement les systèmes anti-bot | Déclenche plus souvent des CAPTCHA ou des restrictions |

Comment un appareil devient-il un proxy résidentiel ?
Contrairement à une idée reçue, il n’est pas toujours nécessaire qu’un ordinateur soit infecté par un malware pour devenir un proxy résidentiel. De nombreux appareils connectés peuvent être détournés de différentes manières afin de relayer le trafic Internet de tiers.
Les méthodes les plus courantes sont les suivantes.
Infection par un malware
Le scénario le plus classique consiste à infecter un ordinateur, un NAS ou un routeur avec un malware. Une fois installé, celui-ci contacte un serveur de commande et de contrôle (C2) et attend les instructions de l’attaquant.
Au lieu de lancer uniquement des attaques DDoS ou d’envoyer du spam, le malware peut également transformer l’appareil en proxy résidentiel. Les connexions de tiers transitent alors par votre accès Internet.
Firmware ou système compromis
Certains appareils sont vendus avec un firmware vulnérable, voire compromis dès leur fabrication ou leur distribution.
Si une porte dérobée (backdoor) est présente ou qu’une faille de sécurité permet une prise de contrôle à distance, l’appareil peut être intégré à un réseau de proxys résidentiels sans que son propriétaire ne s’en aperçoive.
Applications ou SDK préinstallés
Dans certains cas, le problème ne provient pas d’un malware mais d’une application installée par le fabricant ou d’un SDK intégré à une application.
Consultez le paragraphe plus bas de ce guide pour plus de détails.
Services exposés sur Internet
Certains appareils sont accessibles depuis Internet à cause d’une mauvaise configuration.
Par exemple :
- ADB (Android Debug Bridge) laissé activé sur une Android TV Box.
- Interface d’administration exposée sans protection.
- Mots de passe par défaut jamais modifiés.
- Failles de sécurité non corrigées.
Ces erreurs permettent à un attaquant de prendre le contrôle de l’appareil et d’y installer un logiciel de relais ou un malware.
Botnets spécialisés dans les objets connectés
Les cybercriminels ciblent de plus en plus les objets connectés (IoT), souvent moins bien protégés que les ordinateurs.
Les appareils les plus visés sont notamment :
- Android TV Box
- Box IPTV
- Téléviseurs connectés
- Caméras IP
- Routeurs
- NAS
- Cadres photo connectés
- Boîtiers domotiques
Une fois compromis, ces appareils peuvent être regroupés au sein d’un botnet et utilisés comme nœuds d’un vaste réseau de proxys résidentiels.
Quels sont les appareils les plus concernés
Tous les appareils connectés à Internet peuvent, en théorie, être détournés pour servir de proxy résidentiel. Toutefois, certains sont plus exposés que d’autres en raison de leur système d’exploitation, de mises à jour de sécurité insuffisantes ou de mauvaises configurations.
Le tableau ci-dessous présente les appareils les plus fréquemment ciblés.
| Appareil | Niveau de risque | Pourquoi ? |
|---|---|---|
| Android TV Box / Box IPTV | Très élevé | Souvent vendues avec un Android modifié, des applications préinstallées, des mises à jour rares et parfois ADB activé par défaut. |
| Routeurs et box Internet | Très élevé | Exposés directement à Internet. Une mauvaise configuration ou une faille peut compromettre tout le trafic réseau. |
| Caméras IP | Très élevé | Mots de passe par défaut, firmwares rarement mis à jour et nombreuses failles connues. |
| NAS | Élevé | Souvent accessibles depuis Internet et contenant des données sensibles. Ils sont régulièrement ciblés par les attaquants. |
| Téléviseurs connectés (Smart TV) | Élevé | Certaines applications ou SDK peuvent être utilisés pour relayer du trafic Internet à l’insu de l’utilisateur. |
| Objets connectés (IoT) | Modéré | Les prises connectées, assistants vocaux ou équipements domotiques peuvent être compromis si leur firmware n’est pas maintenu à jour. |
| Cadres photo connectés | Modéré | Certains modèles utilisent un firmware peu sécurisé et ne reçoivent pratiquement jamais de mises à jour. |
| Ordinateurs Windows, Linux ou macOS | Modéré | Généralement compromis après l’installation d’un malware qui transforme l’appareil en nœud de proxy résidentiel. |
| Smartphones Android | Faible à modéré | Quelques applications malveillantes peuvent transformer le téléphone en proxy résidentiel, mais ce scénario reste moins fréquent. |
Les Android TV Box et les box IPTV représentent aujourd’hui l’un des risques les plus importants. Plusieurs campagnes récentes ont montré que certains appareils étaient vendus avec des applications ou des composants permettant de relayer du trafic Internet sans que leur propriétaire en soit conscient.
Les routeurs, caméras IP et autres objets connectés sont également très ciblés, car ils restent allumés en permanence et sont souvent mal sécurisés. Un mot de passe par défaut, un firmware obsolète ou un service d’administration exposé sur Internet peut suffire à compromettre l’appareil et à l’intégrer à un réseau de proxys résidentiels.
Exemples récents de réseaux de proxys résidentiels (botnet)
BADBOX 2.0
BADBOX 2.0 est l’un des exemples les plus marquants de l’évolution des botnets vers les réseaux de proxys résidentiels. Contrairement aux botnets classiques, qui infectaient principalement des ordinateurs, BADBOX 2.0 cible des objets connectés (IoT) utilisés au quotidien.
Les appareils concernés sont notamment :
- Android TV Box
- Boîtiers de streaming
- Téléviseurs connectés
- Vidéoprojecteurs
- Cadres photo numériques
- Systèmes multimédias pour véhicules
- Autres appareils connectés fonctionnant sous Android
Le FBI indique que ces appareils peuvent être compromis de deux façons :
- Le logiciel malveillant est déjà présent avant l’achat, directement dans le firmware ou le système de l’appareil.
- L’infection intervient lors de la configuration initiale, lorsqu’une application contenant une porte dérobée (backdoor) est téléchargée depuis une boutique d’applications non officielle.
Une fois connecté à Internet, l’appareil rejoint automatiquement le botnet BADBOX 2.0 et peut être utilisé comme proxy résidentiel. Les cybercriminels peuvent alors relayer leur trafic via votre connexion Internet afin de masquer leur véritable adresse IP.
Selon le FBI, ce réseau est composé de millions d’appareils compromis et est utilisé pour différentes activités malveillantes, notamment :
- La revente d’accès à des proxys résidentiels
- La fraude publicitaire (Ad Fraud)
- Le contournement des systèmes anti-bot
- Le web scraping
- La création automatisée de comptes
- D’autres activités cybercriminelles
Le FBI recommande notamment :
- D’éviter les Android TV Box et appareils IoT provenant de marques inconnues ou non certifiées
- De ne pas installer d’applications depuis des boutiques non officielles
- De maintenir le firmware et les applications à jour
- De surveiller le trafic réseau des appareils connectés
BADBOX 2.0 illustre une évolution importante des menaces actuelles : il n’est plus nécessaire qu’un ordinateur soit infecté par un malware pour qu’un cybercriminel exploite votre connexion Internet. Un simple appareil connecté vulnérable ou compromis peut suffire à transformer votre réseau domestique en nœud d’un vaste réseau de proxys résidentiels.
Plus de détails : https://www.bleepingcomputer.com/news/security/fbi-badbox-20-android-malware-infects-millions-of-consumer-devices/

La chaîne YouTube Underscore_ en parle. Il y explique notamment que ce réseau peut aussi viser des chefs d’Entreprises qui peuvent rammener du travail à la maison.
Le but pouvant être de voler des données d’entreprises.
Kimwolf
Kimwolf est un botnet Android apparu en 2025, considéré comme l’une des principales évolutions des botnets modernes. Contrairement aux réseaux de machines zombies traditionnels, il cible principalement les Android TV Box, les boîtiers de streaming et d’autres appareils Android connectés au réseau domestique.
Les chercheurs estiment que plus de deux millions d’appareils Android ont été compromis. Kimwolf est étroitement lié au botnet Aisuru, dont il constitue la variante spécialisée pour Android.
Les appareils infectés sont utilisés pour plusieurs activités malveillantes :
- Lancer des attaques DDoS
- Relayer du trafic via des proxys résidentiels
- Masquer l’origine d’autres attaques
- Monétiser la bande passante des victimes
- Télécharger ou installer d’autres composants malveillants
L’une des particularités de Kimwolf est sa capacité à scanner le réseau local à la recherche d’autres appareils vulnérables. Les chercheurs ont notamment observé qu’il ciblait les Android TV Box et autres équipements Android dont le service Android Debug Bridge (ADB) était exposé sans authentification. Une fois un appareil compromis, celui-ci peut à son tour servir de point d’entrée vers d’autres équipements présents sur le réseau domestique.
Kimwolf illustre également une évolution importante de la cybercriminalité : les appareils compromis ne servent plus uniquement à lancer des attaques DDoS. Les opérateurs du botnet revendent également l’accès aux adresses IP des victimes sous forme de proxys résidentiels, permettant à d’autres cybercriminels de faire transiter leur trafic via des connexions Internet de particuliers. Ces services sont utilisés pour le web scraping, la fraude, le contournement des systèmes anti-bot ou encore la création automatisée de comptes.
Ce botnet rappelle enfin l’importance de désactiver ADB lorsqu’il n’est pas nécessaire, de maintenir les appareils Android à jour et d’éviter les Android TV Box ou boîtiers de streaming provenant de fabricants inconnus ou ne fournissant pas de mises à jour de sécurité régulières.

Les SDK de proxy résidentiel intégrés aux applications
Lorsqu’on parle de réseaux de proxys résidentiels, on imagine souvent un appareil infecté par un malware. Pourtant, ce n’est plus toujours le cas.
Certains développeurs intègrent volontairement un SDK (Software Development Kit) fourni par un service de proxy résidentiel directement dans leur application. En échange d’une rémunération, l’application peut utiliser une partie de la connexion Internet de l’utilisateur pour relayer le trafic d’autres clients du service.
Dans ce scénario :
- l’appareil n’est pas infecté par un malware ;
- l’application fonctionne normalement et remplit la fonction attendue ;
- aucun comportement anormal n’est visible pour l’utilisateur ;
- seul une partie de la connexion Internet est utilisée en arrière-plan.
Un malware prend le contrôle de votre appareil sans votre accord. Un SDK de proxy résidentiel peut, lui, utiliser votre connexion avec votre consentement… mais ce consentement est parfois peu clair ou insuffisamment explicite.
Le problème est que l’utilisateur n’est pas toujours pleinement informé de cette utilisation. Les conditions d’utilisation peuvent mentionner ce partage de connexion, mais de manière peu visible ou difficile à comprendre.
C’est ce qui rend ces solutions particulièrement controversées : contrairement à un botnet classique, il ne s’agit pas forcément d’une compromission du système, mais d’un mécanisme intégré à une application légitime, qui transforme néanmoins votre appareil en nœud d’un réseau de proxys résidentiels.
Comment cela fonctionne ?
Le principe est relativement simple : le développeur d’une application intègre un SDK (Software Development Kit) fourni par un service de proxy résidentiel. Une fois l’application installée, ce composant permet de relayer une partie du trafic Internet via la connexion de l’utilisateur.
Le fonctionnement peut être résumé ainsi :

Pour l’utilisateur, l’application peut fonctionner normalement. Le téléviseur, la box Android ou l’appareil connecté continue d’afficher le contenu attendu, mais en arrière-plan, une partie de la connexion peut être utilisée pour faire transiter du trafic Internet.
Ce modèle pose plusieurs problèmes :
| Problème | Explication |
|---|---|
| Consentement flou | L’utilisateur ne comprend pas toujours que sa connexion peut être utilisée par des tiers. |
| Consommation de bande passante | Le trafic relayé peut ralentir la connexion ou augmenter la consommation de données. |
| Risque de réputation IP | Des activités douteuses peuvent sembler provenir de l’adresse IP de l’utilisateur. |
| Difficulté de détection | L’appareil peut continuer à fonctionner normalement, sans symptôme évident. |
En 2026, des chercheurs ont par exemple signalé que des applications destinées aux Smart TV Samsung et LG pouvaient intégrer un SDK de proxy résidentiel, permettant d’utiliser la connexion Internet des téléviseurs comme nœud de relais. L’information doit être présentée avec prudence, mais elle illustre bien l’évolution du modèle : un appareil peut devenir un proxy résidentiel sans infection visible, simplement via une application installée.
Ce type de fonctionnement montre que les botnets modernes ne reposent plus seulement sur des malwares. Ils peuvent aussi s’appuyer sur des applications, des SDK, des firmwares ou des appareils connectés dont l’utilisateur ne soupçonne pas l’activité réelle en arrière-plan.
Comment savoir si son appareil est utilisé comme proxy résidentiel ?
L’un des principaux problèmes des réseaux de proxys résidentiels est leur discrétion. Dans la plupart des cas, l’appareil continue de fonctionner normalement et son propriétaire ne remarque aucun comportement inhabituel.
Il existe toutefois plusieurs signes qui peuvent alerter.
Les symptômes courants
| Symptôme | Signification |
|---|---|
| Bande passante élevée | Trafic relayé |
| Beaucoup de connexions | Proxy |
| Chauffe | CPU |
| Scans réseau | Bot |
Une activité réseau inhabituelle
Un appareil utilisé comme proxy résidentiel échange en permanence des données avec Internet.
Vous pouvez notamment observer :
- Une consommation de bande passante anormalement élevée, même lorsque l’appareil est inutilisé.
- De nombreuses connexions vers des adresses IP inconnues.
- Un trafic réseau important pendant la nuit ou lorsque personne n’utilise l’appareil.
Ces informations peuvent être consultées depuis l’interface d’administration de votre routeur ou à l’aide d’un analyseur de trafic réseau.
Des connexions provenant du réseau local
Certains botnets ne se contentent pas de communiquer avec Internet. Ils tentent également de scanner le réseau local afin de rechercher d’autres appareils vulnérables.
Cela peut se traduire par :
- Des tentatives de connexion vers d’autres appareils de votre réseau
- Des scans des ports TCP ou UDP
- Des recherches d’appareils Android avec ADB activé
- Des tentatives d’accès à des interfaces d’administration
Ce comportement est notamment observé sur certains botnets ciblant les Android TV Box et les objets connectés.
Une activité inhabituelle du processeur ou du réseau
Si un appareil relaie le trafic d’autres utilisateurs, vous pouvez constater :
- Une utilisation anormalement élevée du processeur
- Une activité réseau permanente
- Une augmentation de la consommation électrique
- Un échauffement inhabituel de l’appareil
Ces symptômes ne sont pas spécifiques aux proxys résidentiels, mais ils peuvent constituer un indice lorsqu’ils apparaissent sans raison apparente.
Des services d’administration exposés
Les appareils les plus vulnérables sont souvent ceux dont les services d’administration restent accessibles.
Vérifiez notamment :
- Qu’ADB est désactivé sur les Android TV Box
- Que les mots de passe par défaut ont été remplacés
- Que le firmware est à jour
- Que l’interface d’administration n’est pas accessible depuis Internet
Surveiller les connexions réseau
Si vous pensez qu’un appareil est utilisé comme proxy résidentiel, il peut être utile d’analyser son activité réseau.
Vous pouvez notamment :
- Consulter les journaux de votre routeur ou de votre pare-feu
- Utiliser un analyseur de trafic comme Wireshark
- Identifier les appareils qui génèrent le plus de trafic
- Vérifier les connexions établies vers des serveurs inconnus
À retenir : un appareil utilisé comme proxy résidentiel ne présente pas forcément de symptômes visibles. Dans de nombreux cas, la seule conséquence est une utilisation inhabituelle de votre connexion Internet, tandis que l’appareil continue de fonctionner normalement. C’est ce qui rend ces réseaux particulièrement difficiles à détecter sans surveiller le trafic réseau.
Comment s’en protéger ?
Il est possible de réduire considérablement le risque qu’un appareil soit utilisé comme proxy résidentiel en appliquant quelques bonnes pratiques de sécurité. La plupart des compromissions exploitent des appareils mal sécurisés, des logiciels obsolètes ou des fonctionnalités d’administration laissées actives.
Pour protéger vos appareils connectés :
- Achetez des appareils provenant de fabricants reconnus, qui publient régulièrement des mises à jour de sécurité.
- Installez les mises à jour du firmware dès qu’elles sont disponibles.
- Téléchargez uniquement des applications depuis les boutiques officielles (Google Play, Samsung Store, LG Content Store, etc.).
- Évitez les Android TV Box et les box IPTV d’origine inconnue, qui sont souvent vendues avec des logiciels modifiés ou des applications préinstallées.
- Désactivez ADB (Android Debug Bridge) lorsque vous ne l’utilisez pas.
- Remplacez les mots de passe par défaut des routeurs, caméras IP, NAS et autres objets connectés.
- N’exposez pas les interfaces d’administration directement sur Internet.
- Surveillez régulièrement le trafic réseau de vos appareils afin de détecter une activité inhabituelle.
- Isolez les objets connectés sur un réseau Wi-Fi invité ou un VLAN, lorsque votre routeur le permet.
Il est également recommandé de redémarrer régulièrement vos appareils et de supprimer les applications que vous n’utilisez plus, en particulier sur les téléviseurs connectés et les Android TV Box.
Conclusion
Les proxys résidentiels illustrent une évolution majeure de la cybercriminalité. Alors que les anciens botnets ciblaient principalement les ordinateurs Windows pour lancer des attaques DDoS ou envoyer du spam, les cybercriminels s’intéressent désormais à la connexion Internet des particuliers, dont les adresses IP sont beaucoup plus difficiles à détecter et à bloquer.
Aujourd’hui, les appareils les plus exposés sont les objets connectés (IoT), et plus particulièrement ceux fonctionnant sous Android, comme les Android TV Box, les box IPTV, les téléviseurs connectés, mais aussi les caméras IP, les routeurs ou d’autres équipements connectés. Certains sont compromis par un malware, tandis que d’autres peuvent embarquer un firmware vulnérable ou une application contenant un SDK de proxy résidentiel.
Cette évolution montre qu’il n’est plus nécessaire d’infecter un ordinateur pour exploiter la connexion Internet d’une victime. Un simple appareil connecté mal sécurisé peut suffire à intégrer un réseau mondial de proxys résidentiels et à relayer le trafic de tiers à l’insu de son propriétaire.
Pour limiter les risques, privilégiez des appareils de fabricants reconnus, maintenez leur firmware à jour, installez uniquement des applications provenant de sources officielles et surveillez régulièrement l’activité de votre réseau. Les objets connectés doivent aujourd’hui être considérés comme de véritables ordinateurs : ils nécessitent les mêmes précautions de sécurité que votre PC ou votre smartphone.
- Sécurité informatique : tous les guides complets
- Les virus informatiques : fonctionnement et protections
- Comment les virus informatiques sont distribués
- Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc
- Comment fonctionnent les trojans : les explications
- Trojan Stealer (InfoStealer) : le malware qui vole des données
- Les keylogger ou enregistreur de frappes clavier
- Les virus PowerShell : fonctionnement, dangers et protection
- Vers informatiques (worms) : description et fonctionnement
- Les botnets : définition, fonctionnement, types et protection
- Business malwares : le Pourquoi des infections informatiques
- Comment les virus informatiques sont distribués.
- La sécurité de son PC, c’est quoi ?
- Trojan Banker : botnet spécialisé dans le vol de compte bancaire
- Savoir si on a un virus sur son PC : 9 signes d’une infection par un malware
L’article Proxy résidentiel : comment les cybercriminels détournent vos appareils connectés est apparu en premier sur malekal.com.


Fournie par un FAI
Appartient à un hébergeur ou un fournisseur VPN
Très élevé
Élevé
Modéré
Faible à modéré
0 Commentaires