Ticker

6/recent/ticker-posts

Ad Code

Responsive Advertisement

Proxy résidentiel : comment les cybercriminels détournent vos appareils connectés

Les proxys résidentiels sont devenus un outil très recherché par les cybercriminels. Contrairement aux VPN, qui utilisent généralement des adresses IP appartenant à des centres de données, ils s’appuient sur les connexions Internet de particuliers, beaucoup plus difficiles à détecter et à bloquer par les sites web.

Le plus inquiétant est qu’il n’est plus forcément nécessaire qu’un ordinateur soit infecté par un malware. Une Android TV Box, une box IPTV, un téléviseur connecté, une caméra IP, un routeur, un NAS ou un autre objet connecté vulnérable peut être détourné afin de relayer le trafic Internet de tiers, parfois simplement à cause d’un firmware compromis, d’une application contenant un SDK spécifique ou d’une mauvaise configuration.

Dans ce guide, découvrez ce qu’est un proxy résidentiel, pourquoi les cybercriminels cherchent à exploiter votre connexion Internet, comment des appareils connectés peuvent être transformés en nœuds d’un réseau de proxys résidentiels et les bonnes pratiques pour protéger votre réseau domestique.

Qu’est-ce qu’un proxy résidentiel ?

Un proxy résidentiel est un serveur intermédiaire qui utilise l’adresse IP d’une connexion Internet résidentielle, c’est-à-dire celle d’un particulier, plutôt que celle d’un centre de données ou d’un fournisseur de services cloud.

👉A lire :

Lorsqu’une personne ou un logiciel utilise un proxy résidentiel, les sites web voient l’adresse IP du particulier et non celle du véritable utilisateur. Les requêtes semblent donc provenir d’un ordinateur ou d’un foyer « normal », ce qui les rend plus difficiles à détecter ou à bloquer.

Le fonctionnement peut être résumé ainsi :

Qu'est-ce qu'un proxy résidentiel : infographie complète

Une IP résidentielle vaut de l’or pour les cybercriminels

En pratique, une adresse IP résidentielle a beaucoup plus de valeur qu’une adresse IP provenant d’un VPN ou d’un centre de données.

En effet, la plupart des services VPN utilisent des adresses IP appartenant à des fournisseurs de cloud ou à des organisations. Ces plages d’adresses sont bien connues des sites web et peuvent être facilement identifiées, voire bloquées.

À l’inverse, une adresse IP résidentielle appartient à un particulier et est fournie par un fournisseur d’accès à Internet (Orange, Free, SFR, Bouygues Telecom, etc.). Pour un site web, cette connexion ressemble donc à celle d’un utilisateur classique naviguant depuis son domicile.

Cette différence permet plus facilement de :

  • Contourner les systèmes anti-bot
  • Éviter certains CAPTCHA
  • Créer de nombreux comptes sur des services en ligne
  • Effectuer du web scraping à grande échelle
  • Contourner les limitations de débit ou les blocages d’adresses IP
  • Masquer l’origine d’activités frauduleuses
  • Ad Fraud peut charger et cliquer sur des publicités en arrière-plan pour générer des revenus publicitaires

C’est pourquoi les réseaux de proxys résidentiels sont devenus très recherchés. Plus un service dispose de connexions Internet résidentielles réparties dans différents pays, plus il est capable de faire passer son trafic pour celui de véritables internautes.

Je pense même qu’un petit tableau serait excellent.

Adresse IP résidentielleAdresse IP de VPN / Datacenter
✅ Fournie par un FAI❌ Appartient à un hébergeur ou un fournisseur VPN
✅ Ressemble à un particulier❌ Facilement identifiable comme un VPN
✅ Plus difficile à bloquer❌ Souvent présente dans des listes de blocage
✅ Passe plus facilement les systèmes anti-bot❌ Déclenche plus souvent des CAPTCHA ou des restrictions
Pourquoi une IP résidentielle vaut de l'or pour les cybercriminels : l'infographie complète

Comment un appareil devient-il un proxy résidentiel ?

Contrairement à une idée reçue, il n’est pas toujours nécessaire qu’un ordinateur soit infecté par un malware pour devenir un proxy résidentiel. De nombreux appareils connectés peuvent être détournés de différentes manières afin de relayer le trafic Internet de tiers.

Les méthodes les plus courantes sont les suivantes.

Infection par un malware

Le scénario le plus classique consiste à infecter un ordinateur, un NAS ou un routeur avec un malware. Une fois installé, celui-ci contacte un serveur de commande et de contrôle (C2) et attend les instructions de l’attaquant.

Au lieu de lancer uniquement des attaques DDoS ou d’envoyer du spam, le malware peut également transformer l’appareil en proxy résidentiel. Les connexions de tiers transitent alors par votre accès Internet.

Firmware ou système compromis

Certains appareils sont vendus avec un firmware vulnérable, voire compromis dès leur fabrication ou leur distribution.

Si une porte dérobée (backdoor) est présente ou qu’une faille de sécurité permet une prise de contrôle à distance, l’appareil peut être intégré à un réseau de proxys résidentiels sans que son propriétaire ne s’en aperçoive.

Applications ou SDK préinstallés

Dans certains cas, le problème ne provient pas d’un malware mais d’une application installée par le fabricant ou d’un SDK intégré à une application.

Consultez le paragraphe plus bas de ce guide pour plus de détails.

Services exposés sur Internet

Certains appareils sont accessibles depuis Internet à cause d’une mauvaise configuration.

Par exemple :

  • ADB (Android Debug Bridge) laissé activé sur une Android TV Box.
  • Interface d’administration exposée sans protection.
  • Mots de passe par défaut jamais modifiés.
  • Failles de sécurité non corrigées.

Ces erreurs permettent à un attaquant de prendre le contrôle de l’appareil et d’y installer un logiciel de relais ou un malware.

Botnets spécialisés dans les objets connectés

Les cybercriminels ciblent de plus en plus les objets connectés (IoT), souvent moins bien protégés que les ordinateurs.

Les appareils les plus visés sont notamment :

  • Android TV Box
  • Box IPTV
  • Téléviseurs connectés
  • Caméras IP
  • Routeurs
  • NAS
  • Cadres photo connectés
  • Boîtiers domotiques

Une fois compromis, ces appareils peuvent être regroupés au sein d’un botnet et utilisés comme nœuds d’un vaste réseau de proxys résidentiels.

À retenir : dans de nombreux cas, le propriétaire de l’appareil ne remarque aucun symptôme visible. Son téléviseur, sa caméra ou son routeur continuent de fonctionner normalement, tandis qu’ils relaient discrètement le trafic Internet d’autres utilisateurs ou de cybercriminels. C’est cette discrétion qui rend les réseaux de proxys résidentiels particulièrement difficiles à détecter.

Quels sont les appareils les plus concernés

Tous les appareils connectés à Internet peuvent, en théorie, être détournés pour servir de proxy résidentiel. Toutefois, certains sont plus exposés que d’autres en raison de leur système d’exploitation, de mises à jour de sécurité insuffisantes ou de mauvaises configurations.

Le tableau ci-dessous présente les appareils les plus fréquemment ciblés.

AppareilNiveau de risquePourquoi ?
Android TV Box / Box IPTV🔴 Très élevéSouvent vendues avec un Android modifié, des applications préinstallées, des mises à jour rares et parfois ADB activé par défaut.
Routeurs et box Internet🔴 Très élevéExposés directement à Internet. Une mauvaise configuration ou une faille peut compromettre tout le trafic réseau.
Caméras IP🔴 Très élevéMots de passe par défaut, firmwares rarement mis à jour et nombreuses failles connues.
NAS🟠 ÉlevéSouvent accessibles depuis Internet et contenant des données sensibles. Ils sont régulièrement ciblés par les attaquants.
Téléviseurs connectés (Smart TV)🟠 ÉlevéCertaines applications ou SDK peuvent être utilisés pour relayer du trafic Internet à l’insu de l’utilisateur.
Objets connectés (IoT)🟡 ModéréLes prises connectées, assistants vocaux ou équipements domotiques peuvent être compromis si leur firmware n’est pas maintenu à jour.
Cadres photo connectés🟡 ModéréCertains modèles utilisent un firmware peu sécurisé et ne reçoivent pratiquement jamais de mises à jour.
Ordinateurs Windows, Linux ou macOS🟡 ModéréGénéralement compromis après l’installation d’un malware qui transforme l’appareil en nœud de proxy résidentiel.
Smartphones Android🟢 Faible à modéréQuelques applications malveillantes peuvent transformer le téléphone en proxy résidentiel, mais ce scénario reste moins fréquent.

À retenir : le niveau de risque ne dépend pas uniquement du type d’appareil, mais surtout de son niveau de sécurité. Un appareil régulièrement mis à jour, provenant d’un fabricant reconnu et correctement configuré présente généralement un risque bien plus faible qu’un appareil abandonné ou vendu avec un firmware modifié.

Les Android TV Box et les box IPTV représentent aujourd’hui l’un des risques les plus importants. Plusieurs campagnes récentes ont montré que certains appareils étaient vendus avec des applications ou des composants permettant de relayer du trafic Internet sans que leur propriétaire en soit conscient.

Les routeurs, caméras IP et autres objets connectés sont également très ciblés, car ils restent allumés en permanence et sont souvent mal sécurisés. Un mot de passe par défaut, un firmware obsolète ou un service d’administration exposé sur Internet peut suffire à compromettre l’appareil et à l’intégrer à un réseau de proxys résidentiels.

Exemples récents de réseaux de proxys résidentiels (botnet)

BADBOX 2.0

BADBOX 2.0 est l’un des exemples les plus marquants de l’évolution des botnets vers les réseaux de proxys résidentiels. Contrairement aux botnets classiques, qui infectaient principalement des ordinateurs, BADBOX 2.0 cible des objets connectés (IoT) utilisés au quotidien.

Les appareils concernés sont notamment :

  • Android TV Box
  • Boîtiers de streaming
  • Téléviseurs connectés
  • Vidéoprojecteurs
  • Cadres photo numériques
  • Systèmes multimédias pour véhicules
  • Autres appareils connectés fonctionnant sous Android

Le FBI indique que ces appareils peuvent être compromis de deux façons :

  • Le logiciel malveillant est déjà présent avant l’achat, directement dans le firmware ou le système de l’appareil.
  • L’infection intervient lors de la configuration initiale, lorsqu’une application contenant une porte dérobée (backdoor) est téléchargée depuis une boutique d’applications non officielle.

Une fois connecté à Internet, l’appareil rejoint automatiquement le botnet BADBOX 2.0 et peut être utilisé comme proxy résidentiel. Les cybercriminels peuvent alors relayer leur trafic via votre connexion Internet afin de masquer leur véritable adresse IP.

Selon le FBI, ce réseau est composé de millions d’appareils compromis et est utilisé pour différentes activités malveillantes, notamment :

  • La revente d’accès à des proxys résidentiels
  • La fraude publicitaire (Ad Fraud)
  • Le contournement des systèmes anti-bot
  • Le web scraping
  • La création automatisée de comptes
  • D’autres activités cybercriminelles

Le FBI recommande notamment :

  • D’éviter les Android TV Box et appareils IoT provenant de marques inconnues ou non certifiées
  • De ne pas installer d’applications depuis des boutiques non officielles
  • De maintenir le firmware et les applications à jour
  • De surveiller le trafic réseau des appareils connectés

BADBOX 2.0 illustre une évolution importante des menaces actuelles : il n’est plus nécessaire qu’un ordinateur soit infecté par un malware pour qu’un cybercriminel exploite votre connexion Internet. Un simple appareil connecté vulnérable ou compromis peut suffire à transformer votre réseau domestique en nœud d’un vaste réseau de proxys résidentiels.

Plus de détails : https://www.bleepingcomputer.com/news/security/fbi-badbox-20-android-malware-infects-millions-of-consumer-devices/

BADBOX 2.0 : botnet android de proxy résidentiels

La chaîne YouTube Underscore_ en parle. Il y explique notamment que ce réseau peut aussi viser des chefs d’Entreprises qui peuvent rammener du travail à la maison.
Le but pouvant être de voler des données d’entreprises.

Kimwolf

Kimwolf est un botnet Android apparu en 2025, considéré comme l’une des principales évolutions des botnets modernes. Contrairement aux réseaux de machines zombies traditionnels, il cible principalement les Android TV Box, les boîtiers de streaming et d’autres appareils Android connectés au réseau domestique.

Les chercheurs estiment que plus de deux millions d’appareils Android ont été compromis. Kimwolf est étroitement lié au botnet Aisuru, dont il constitue la variante spécialisée pour Android.

Les appareils infectés sont utilisés pour plusieurs activités malveillantes :

  • Lancer des attaques DDoS
  • Relayer du trafic via des proxys résidentiels
  • Masquer l’origine d’autres attaques
  • Monétiser la bande passante des victimes
  • Télécharger ou installer d’autres composants malveillants

L’une des particularités de Kimwolf est sa capacité à scanner le réseau local à la recherche d’autres appareils vulnérables. Les chercheurs ont notamment observé qu’il ciblait les Android TV Box et autres équipements Android dont le service Android Debug Bridge (ADB) était exposé sans authentification. Une fois un appareil compromis, celui-ci peut à son tour servir de point d’entrée vers d’autres équipements présents sur le réseau domestique.

Kimwolf illustre également une évolution importante de la cybercriminalité : les appareils compromis ne servent plus uniquement à lancer des attaques DDoS. Les opérateurs du botnet revendent également l’accès aux adresses IP des victimes sous forme de proxys résidentiels, permettant à d’autres cybercriminels de faire transiter leur trafic via des connexions Internet de particuliers. Ces services sont utilisés pour le web scraping, la fraude, le contournement des systèmes anti-bot ou encore la création automatisée de comptes.

Ce botnet rappelle enfin l’importance de désactiver ADB lorsqu’il n’est pas nécessaire, de maintenir les appareils Android à jour et d’éviter les Android TV Box ou boîtiers de streaming provenant de fabricants inconnus ou ne fournissant pas de mises à jour de sécurité régulières.

Kimwolf : réseau d'appareils android infectés et botnet

Les SDK de proxy résidentiel intégrés aux applications

Lorsqu’on parle de réseaux de proxys résidentiels, on imagine souvent un appareil infecté par un malware. Pourtant, ce n’est plus toujours le cas.

Certains développeurs intègrent volontairement un SDK (Software Development Kit) fourni par un service de proxy résidentiel directement dans leur application. En échange d’une rémunération, l’application peut utiliser une partie de la connexion Internet de l’utilisateur pour relayer le trafic d’autres clients du service.

Dans ce scénario :

  • l’appareil n’est pas infecté par un malware ;
  • l’application fonctionne normalement et remplit la fonction attendue ;
  • aucun comportement anormal n’est visible pour l’utilisateur ;
  • seul une partie de la connexion Internet est utilisée en arrière-plan.

Un malware prend le contrôle de votre appareil sans votre accord. Un SDK de proxy résidentiel peut, lui, utiliser votre connexion avec votre consentement… mais ce consentement est parfois peu clair ou insuffisamment explicite.
Le problème est que l’utilisateur n’est pas toujours pleinement informé de cette utilisation. Les conditions d’utilisation peuvent mentionner ce partage de connexion, mais de manière peu visible ou difficile à comprendre.

C’est ce qui rend ces solutions particulièrement controversées : contrairement à un botnet classique, il ne s’agit pas forcément d’une compromission du système, mais d’un mécanisme intégré à une application légitime, qui transforme néanmoins votre appareil en nœud d’un réseau de proxys résidentiels.

Comment cela fonctionne ?

Le principe est relativement simple : le développeur d’une application intègre un SDK (Software Development Kit) fourni par un service de proxy résidentiel. Une fois l’application installée, ce composant permet de relayer une partie du trafic Internet via la connexion de l’utilisateur.

Le fonctionnement peut être résumé ainsi :

Infographie complète sur les SDK de proxy résidentiel intégrés aux applications

Pour l’utilisateur, l’application peut fonctionner normalement. Le téléviseur, la box Android ou l’appareil connecté continue d’afficher le contenu attendu, mais en arrière-plan, une partie de la connexion peut être utilisée pour faire transiter du trafic Internet.

Ce modèle pose plusieurs problèmes :

ProblèmeExplication
Consentement flouL’utilisateur ne comprend pas toujours que sa connexion peut être utilisée par des tiers.
Consommation de bande passanteLe trafic relayé peut ralentir la connexion ou augmenter la consommation de données.
Risque de réputation IPDes activités douteuses peuvent sembler provenir de l’adresse IP de l’utilisateur.
Difficulté de détectionL’appareil peut continuer à fonctionner normalement, sans symptôme évident.

En 2026, des chercheurs ont par exemple signalé que des applications destinées aux Smart TV Samsung et LG pouvaient intégrer un SDK de proxy résidentiel, permettant d’utiliser la connexion Internet des téléviseurs comme nœud de relais. L’information doit être présentée avec prudence, mais elle illustre bien l’évolution du modèle : un appareil peut devenir un proxy résidentiel sans infection visible, simplement via une application installée.

Ce type de fonctionnement montre que les botnets modernes ne reposent plus seulement sur des malwares. Ils peuvent aussi s’appuyer sur des applications, des SDK, des firmwares ou des appareils connectés dont l’utilisateur ne soupçonne pas l’activité réelle en arrière-plan.

Comment savoir si son appareil est utilisé comme proxy résidentiel ?

L’un des principaux problèmes des réseaux de proxys résidentiels est leur discrétion. Dans la plupart des cas, l’appareil continue de fonctionner normalement et son propriétaire ne remarque aucun comportement inhabituel.

Il existe toutefois plusieurs signes qui peuvent alerter.

Les symptômes courants

SymptômeSignification
Bande passante élevéeTrafic relayé
Beaucoup de connexionsProxy
ChauffeCPU
Scans réseauBot

Une activité réseau inhabituelle

Un appareil utilisé comme proxy résidentiel échange en permanence des données avec Internet.

Vous pouvez notamment observer :

  • Une consommation de bande passante anormalement élevée, même lorsque l’appareil est inutilisé.
  • De nombreuses connexions vers des adresses IP inconnues.
  • Un trafic réseau important pendant la nuit ou lorsque personne n’utilise l’appareil.

Ces informations peuvent être consultées depuis l’interface d’administration de votre routeur ou à l’aide d’un analyseur de trafic réseau.

Des connexions provenant du réseau local

Certains botnets ne se contentent pas de communiquer avec Internet. Ils tentent également de scanner le réseau local afin de rechercher d’autres appareils vulnérables.

Cela peut se traduire par :

  • Des tentatives de connexion vers d’autres appareils de votre réseau
  • Des scans des ports TCP ou UDP
  • Des recherches d’appareils Android avec ADB activé
  • Des tentatives d’accès à des interfaces d’administration

Ce comportement est notamment observé sur certains botnets ciblant les Android TV Box et les objets connectés.

Une activité inhabituelle du processeur ou du réseau

Si un appareil relaie le trafic d’autres utilisateurs, vous pouvez constater :

  • Une utilisation anormalement élevée du processeur
  • Une activité réseau permanente
  • Une augmentation de la consommation électrique
  • Un échauffement inhabituel de l’appareil

Ces symptômes ne sont pas spécifiques aux proxys résidentiels, mais ils peuvent constituer un indice lorsqu’ils apparaissent sans raison apparente.

Des services d’administration exposés

Les appareils les plus vulnérables sont souvent ceux dont les services d’administration restent accessibles.

Vérifiez notamment :

  • Qu’ADB est désactivé sur les Android TV Box
  • Que les mots de passe par défaut ont été remplacés
  • Que le firmware est à jour
  • Que l’interface d’administration n’est pas accessible depuis Internet

Surveiller les connexions réseau

Si vous pensez qu’un appareil est utilisé comme proxy résidentiel, il peut être utile d’analyser son activité réseau.

Vous pouvez notamment :

  • Consulter les journaux de votre routeur ou de votre pare-feu
  • Utiliser un analyseur de trafic comme Wireshark
  • Identifier les appareils qui génèrent le plus de trafic
  • Vérifier les connexions établies vers des serveurs inconnus

À retenir : un appareil utilisé comme proxy résidentiel ne présente pas forcément de symptômes visibles. Dans de nombreux cas, la seule conséquence est une utilisation inhabituelle de votre connexion Internet, tandis que l’appareil continue de fonctionner normalement. C’est ce qui rend ces réseaux particulièrement difficiles à détecter sans surveiller le trafic réseau.

Comment s’en protéger ?

Il est possible de réduire considérablement le risque qu’un appareil soit utilisé comme proxy résidentiel en appliquant quelques bonnes pratiques de sécurité. La plupart des compromissions exploitent des appareils mal sécurisés, des logiciels obsolètes ou des fonctionnalités d’administration laissées actives.

Pour protéger vos appareils connectés :

  • Achetez des appareils provenant de fabricants reconnus, qui publient régulièrement des mises à jour de sécurité.
  • Installez les mises à jour du firmware dès qu’elles sont disponibles.
  • Téléchargez uniquement des applications depuis les boutiques officielles (Google Play, Samsung Store, LG Content Store, etc.).
  • Évitez les Android TV Box et les box IPTV d’origine inconnue, qui sont souvent vendues avec des logiciels modifiés ou des applications préinstallées.
  • Désactivez ADB (Android Debug Bridge) lorsque vous ne l’utilisez pas.
  • Remplacez les mots de passe par défaut des routeurs, caméras IP, NAS et autres objets connectés.
  • N’exposez pas les interfaces d’administration directement sur Internet.
  • Surveillez régulièrement le trafic réseau de vos appareils afin de détecter une activité inhabituelle.
  • Isolez les objets connectés sur un réseau Wi-Fi invité ou un VLAN, lorsque votre routeur le permet.

Il est également recommandé de redémarrer régulièrement vos appareils et de supprimer les applications que vous n’utilisez plus, en particulier sur les téléviseurs connectés et les Android TV Box.

À retenir : les appareils les plus exposés sont souvent ceux qui ne reçoivent plus de mises à jour de sécurité ou qui proviennent de fabricants peu connus. Avant d’acheter un objet connecté, vérifiez que le constructeur assure un suivi logiciel et publie régulièrement des correctifs de sécurité.

Conclusion

Les proxys résidentiels illustrent une évolution majeure de la cybercriminalité. Alors que les anciens botnets ciblaient principalement les ordinateurs Windows pour lancer des attaques DDoS ou envoyer du spam, les cybercriminels s’intéressent désormais à la connexion Internet des particuliers, dont les adresses IP sont beaucoup plus difficiles à détecter et à bloquer.

Aujourd’hui, les appareils les plus exposés sont les objets connectés (IoT), et plus particulièrement ceux fonctionnant sous Android, comme les Android TV Box, les box IPTV, les téléviseurs connectés, mais aussi les caméras IP, les routeurs ou d’autres équipements connectés. Certains sont compromis par un malware, tandis que d’autres peuvent embarquer un firmware vulnérable ou une application contenant un SDK de proxy résidentiel.

Cette évolution montre qu’il n’est plus nécessaire d’infecter un ordinateur pour exploiter la connexion Internet d’une victime. Un simple appareil connecté mal sécurisé peut suffire à intégrer un réseau mondial de proxys résidentiels et à relayer le trafic de tiers à l’insu de son propriétaire.

Pour limiter les risques, privilégiez des appareils de fabricants reconnus, maintenez leur firmware à jour, installez uniquement des applications provenant de sources officielles et surveillez régulièrement l’activité de votre réseau. Les objets connectés doivent aujourd’hui être considérés comme de véritables ordinateurs : ils nécessitent les mêmes précautions de sécurité que votre PC ou votre smartphone.

L’article Proxy résidentiel : comment les cybercriminels détournent vos appareils connectés est apparu en premier sur malekal.com.

Enregistrer un commentaire

0 Commentaires