Vue lecture
Test Geekom A9 Max 2026 Edition : un mini PC haut de gamme
Test du Geekom A9 Max 2026 Edition : Ryzen AI 9 HX 470, NPU 55 TOPS, Radeon 890M. Ce qui change face à la génération 2025 et ce qu'il vaut pour l'IA locale.
Le post Test Geekom A9 Max 2026 Edition : un mini PC haut de gamme a été publié sur IT-Connect.
Microsoft Teams screen sharing bug impacts macOS users in government clouds

Histoire des botnets : 20 ans d’évolution de la cybercriminalité
Depuis le début des années 2000, les botnets ont profondément transformé le paysage de la cybercriminalité. D’abord utilisés pour envoyer des campagnes massives de spam ou lancer des attaques par déni de service (DDoS), ils sont progressivement devenus de véritables plateformes criminelles, capables de diffuser des malwares, déployer des ransomwares, réaliser de la fraude publicitaire (Ad Fraud), fournir des proxys résidentiels ou encore être loués sous forme de Botnet-as-a-Service (BaaS).
Cette évolution s’est accompagnée de nombreux changements techniques : apparition des architectures pair-à-pair (P2P), des algorithmes DGA, du Fast Flux DNS, des rootkits, puis des botnets ciblant les objets connectés (IoT) et les Android TV Box. Les opérations de démantèlement menées par Microsoft, Europol, le FBI et d’autres acteurs ont également joué un rôle majeur dans cette course permanente entre cybercriminels et défenseurs.
Dans ce dossier, découvrez l’histoire des botnets, leur évolution au fil des années, les principaux réseaux qui ont marqué la cybersécurité, les grandes opérations de démantèlement et les nouvelles tendances qui façonnent les botnets modernes.

Les grandes étapes de l’évolution des botnets
En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord simples réseaux d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont progressivement devenus des plateformes criminelles sophistiquées capables de diffuser des malwares, lancer des attaques DDoS, exploiter des objets connectés ou fournir des services de proxys résidentiels.
La frise ci-dessous résume les principales étapes de cette évolution.

Les premiers botnets (2000-2006)
Les premiers botnets apparaissent au début des années 2000, à une époque où Internet connaît une forte croissance et où les ordinateurs personnels sont de plus en plus connectés en permanence. Les cybercriminels découvrent alors qu’il est beaucoup plus efficace de contrôler des milliers d’ordinateurs à distance que d’agir depuis leur propre machine.
À cette époque, les botnets restent relativement simples. Ils sont principalement composés de PC Windows infectés et utilisent un modèle client/serveur reposant sur des serveurs IRC (Internet Relay Chat). Les ordinateurs compromis rejoignent automatiquement un canal de discussion (channel), sur lequel le botmaster envoie ses commandes.
Le fonctionnement est alors le suivant :

Ces premiers botnets sont utilisés pour plusieurs activités malveillantes :
- Lancer des attaques DDoS
- Envoyer des campagnes de spam
- Télécharger et installer d’autres malwares
- Ouvrir une porte dérobée (backdoor) sur les ordinateurs infectés
Parmi les botnets les plus connus de cette période figurent :
| Botnet | Particularité |
|---|---|
| GTBot | L’un des premiers botnets basés sur IRC. |
| Agobot (Gaobot) | Très modulaire, il exploitait de nombreuses vulnérabilités Windows et pouvait lancer des attaques DDoS. |
| SDBot | Botnet IRC largement diffusé, souvent utilisé pour des attaques DDoS et l’installation d’autres malwares. |
| SpyBot | Utilisé pour le contrôle à distance, les attaques DDoS et le téléchargement de nouveaux composants malveillants. |
À cette époque, les botnets étaient encore principalement développés par des individus ou de petits groupes. Leur objectif était souvent de démontrer leurs compétences techniques, de perturber des services en ligne ou de contrôler un grand nombre de machines.
Cette période marque toutefois les débuts d’une évolution qui transformera progressivement les botnets en véritables infrastructures criminelles, capables de générer des revenus importants grâce au spam, au vol de données, à la fraude publicitaire ou encore aux proxys résidentiels. Les années suivantes verront apparaître des botnets beaucoup plus massifs, comme Storm puis Conficker, qui changeront profondément l’échelle de la cybercriminalité.
2007-2012 : les grands botnets Windows
Entre 2007 et 2012, les botnets connaissent une croissance spectaculaire. Cette période est souvent considérée comme l’âge d’or des botnets Windows. Grâce aux campagnes massives de spam, aux vers informatiques (worms) et à l’exploitation de failles de sécurité, certains réseaux atteignent plusieurs millions d’ordinateurs infectés.
Les cybercriminels commencent également à se structurer. Les botnets ne sont plus uniquement développés par des passionnés ou de petits groupes, mais par de véritables organisations criminelles, où chacun possède un rôle bien défini : développement des malwares, gestion des serveurs, diffusion des infections, exploitation des données et blanchiment des revenus.
Les principaux botnets de cette période sont les suivants.
| Botnet | Année | Particularité |
|---|---|---|
| Storm | 2007 | Premier botnet de très grande ampleur, utilisé pour le spam et les attaques DDoS. |
| Conficker | 2008 | Ver informatique ayant infecté jusqu’à 15 millions d’ordinateurs grâce à une faille Windows et aux supports amovibles. |
| Rustock | 2006-2011 | L’un des plus importants spambots au monde, capable d’envoyer jusqu’à 200 millions de spams par jour. |
| Cutwail (Pushdo) | 2007 | Immense réseau spécialisé dans l’envoi de courriers indésirables et de campagnes de phishing. |
| Waledac | 2008 | Botnet de spam utilisant des techniques avancées de communication P2P. |
| Kelihos | 2010 | Successeur de Waledac, principalement utilisé pour le spam et le téléchargement d’autres malwares. |
Durant cette période, les spambots dominent largement le paysage. Les revenus proviennent principalement :
- de l’envoi massif de courriers indésirables (spam) ;
- des campagnes de phishing ;
- de la diffusion de faux antivirus (rogues) ;
- de l’installation d’autres malwares.
Plusieurs botnets commencent à intégrer des rootkits afin d’améliorer leur discrétion. Un rootkit permet de masquer les fichiers, les processus, les connexions réseau ou encore les clés du Registre utilisés par le malware. Cette technique rend la détection beaucoup plus difficile et permet au botnet de rester actif pendant de longues périodes sans être remarqué. Des botnets comme Rustock ou, plus tard, TDSS (Alureon) illustrent parfaitement cette évolution.
A lire :
Parallèlement, les techniques utilisées par les botnets évoluent rapidement. Les opérateurs mettent en place des architectures P2P, des algorithmes DGA (Domain Generation Algorithm) et des communications chiffrées afin de rendre leur démantèlement plus difficile.
Cette période marque également le début des grandes opérations internationales de démantèlement. Microsoft, les éditeurs de sécurité et les forces de l’ordre commencent à coordonner leurs actions afin de saisir les serveurs de commande (C2), mettre en place des sinkholes DNS et neutraliser les infrastructures utilisées par les cybercriminels.
À partir de 2010, le modèle économique évolue progressivement. Les botnets ne servent plus uniquement à envoyer du spam : ils deviennent des plateformes de services, capables de distribuer d’autres malwares, de réaliser de la fraude publicitaire ou de générer des revenus grâce à de nouvelles activités criminelles. Cette professionnalisation ouvrira la voie à la génération suivante de botnets, comme ZeroAccess, TDSS ou Necurs.
Des botnet gigantesques
| Malware / Botnet | Taille du botnet (au meilleur) | Année |
| Rustock | 540 000 à 810 000 | 2006 à 2010 – shutdown : Operation b107 |
| Cutwail (Pushdo / Pandex) | 1 100 000 à 1 600 000 | 2007 – encore actif |
| Bagle | 520 000 à 780 000 | 2004 à 2012 |
| Srizbi | environ 450 000 | 2007/2008 |
| Grum (Tedroo) | 580 000 à 860 000 | 2008 – Takedown 2012 |
| Maazben | 240 000 à 360 000 | 2009 |
| Bredolab (Oficla) | ~220 000 | 2009 – down en 2010 par les autorités Allemandes. Le botmaster, un arménien est arreté et condamndé à 4 ans de prison. |
| Lethic | 210 000 – 310 000 | 2008 – semi-down en 2010 |
| Festi | 140 000 à 220 000 | 2009 |
| Donbot (Buzus) | ~125 000 | 2010 – Sinkhole en 2012 mais revenu |
| Kelihos (Possible suite de Waledac) | ~120 000 | 2009 – Voir Waledac |
| Bobax (Kraken/Oderoor/Hacktool.spammer) | 110 000 à 160 000 | 2004 |
| Waledac | ~90 000 | 2008 – 2010 – TD par Microsoft Retour en 2012 TD début 2017+arrestation |
| Mega-D (Ozdok) | 50 000 à 70 000 | 2009 – down en 2009 par FireEye, remis en ligne un mois après. |
| Gheg (Tofsee/Mondera) | 50 000 à 70 000 | 2013 |
| Xarvester (Rlsloup/Pixoliz) | 20 000 à 36 000 | 2010 |
2010-2015 : la professionnalisation des botnets
À partir de 2010, les botnets évoluent profondément. Les cybercriminels ne cherchent plus seulement à envoyer du spam ou à lancer des attaques DDoS : ils transforment leurs infrastructures en véritables plateformes criminelles, capables de générer des revenus de multiples façons.
Les groupes derrière ces botnets deviennent également beaucoup plus organisés. Ils se répartissent les tâches entre plusieurs équipes spécialisées :
- Les développeurs, qui conçoivent les malwares et les techniques d’évasion.
- Les opérateurs, qui administrent le botnet et les serveurs C2.
- Les équipes chargées de la diffusion, qui infectent de nouveaux appareils.
- Les affiliés, qui monétisent le botnet via différentes activités criminelles.
Cette période voit également apparaître les premiers modèles de Malware-as-a-Service (MaaS). Certains groupes vendent ou louent leurs malwares, tandis que d’autres paient pour faire installer leurs propres logiciels malveillants sur des ordinateurs déjà compromis.
Les botnets les plus emblématiques de cette période sont les suivants.
| Botnet | Année | Particularité |
|---|---|---|
| TDSS (Alureon / TDL) | 2010 | Botnet reposant sur un rootkit très sophistiqué, utilisé pour le proxy, le click fraud et le téléchargement d’autres malwares. |
| ZeroAccess (Sirefef) | 2011 | Botnet P2P spécialisé dans le cryptominage et la fraude publicitaire (Ad Fraud). |
| Citadel | 2011 | Évolution de Zeus, largement utilisée pour les attaques bancaires et les campagnes de malware. |
| Ponmocup | 2011 | L’un des plus grands botnets de téléchargement (downloader), utilisé pour installer d’autres malwares. |
| Necurs | 2012 | Immense botnet spécialisé dans le spam et la distribution de ransomwares et de chevaux de Troie bancaires. |
Les activités évoluent elles aussi rapidement. Les opérateurs ne se limitent plus au spam et développent de nouvelles sources de revenus :
- Fraude publicitaire (Ad Fraud) en simulant des clics sur des publicités.
- Cryptominage, utilisant la puissance de calcul des ordinateurs compromis.
- Installation de chevaux de Troie bancaires, comme Zeus ou Citadel.
- Distribution d’autres malwares, les groupes étant rémunérés pour installer un logiciel malveillant sur les appareils infectés.
- Services de proxy, revendant déjà l’accès à des connexions Internet compromises.
Cette période marque également une avancée technique importante. Les botnets adoptent progressivement :
- Les architectures P2P, afin d’éliminer les points de défaillance uniques.
- Les algorithmes DGA, pour renouveler automatiquement les domaines utilisés par les serveurs C2.
- Les rootkits, qui masquent le malware et renforcent sa persistance.
- Des communications chiffrées, rendant l’analyse réseau beaucoup plus difficile.
ZeroAccess (également connu sous les noms Sirefef ou Max++) est un malware et un botnet apparu vers 2011. Il se distingue par son architecture pair-à-pair (P2P), qui le rend particulièrement résistant aux tentatives de démantèlement.
Contrairement aux spambots de l’époque, ZeroAccess est principalement utilisé pour la fraude publicitaire (click fraud) et, sur certaines variantes, pour le cryptominage de Bitcoin. Il peut également télécharger et installer d’autres logiciels malveillants sur les ordinateurs compromis.
Au plus fort de son activité, la taille du botnet est estimée entre 1,9 et 2,2 millions d’ordinateurs infectés, avec environ 800 000 bots actifs simultanément selon Microsoft.
En 2013, une opération conjointe menée par Microsoft, Europol (EC3), le FBI et plusieurs partenaires industriels, dont A10 Networks, a fortement perturbé le botnet en neutralisant une partie de son infrastructure. Malgré cela, son architecture P2P lui a permis de survivre plusieurs mois avant de perdre progressivement de son importance
Les grandes opérations internationales de démantèlement se multiplient également. Des botnets comme Citadel, ZeroAccess ou TDSS subissent d’importantes perturbations grâce à la coopération entre les éditeurs de sécurité, les hébergeurs, les registrars et les forces de l’ordre.
Cette professionnalisation prépare l’arrivée d’une nouvelle génération de botnets. À partir de 2016, les cybercriminels ne ciblent plus uniquement les ordinateurs : les objets connectés (IoT) deviennent à leur tour une cible privilégiée, ouvrant la voie à des botnets comme Mirai, capables de contrôler des centaines de milliers de caméras IP, de routeurs et d’autres équipements connectés.
2016 : l’arrivée des objets connectés
L’année 2016 marque un tournant majeur dans l’histoire des botnets. Jusqu’alors, les cybercriminels ciblaient principalement les ordinateurs Windows. Avec l’essor des objets connectés (IoT), ils découvrent un nouveau terrain de jeu : des millions d’appareils connectés à Internet, souvent mal sécurisés et laissés avec leurs paramètres par défaut.
Les premières victimes sont notamment :
- Les caméras IP
- Les routeurs
- Les enregistreurs vidéo (DVR)
- Les box Internet
- Les objets connectés utilisant Linux embarqué
Le botnet qui symbolise cette évolution est Mirai, découvert en 2016.
| Botnet | Année | Particularité |
|---|---|---|
| Mirai | 2016 | Premier botnet IoT de très grande ampleur, exploitant les mots de passe par défaut des objets connectés pour lancer des attaques DDoS massives. |
| Linux/Moose | 2015 | Botnet ciblant les routeurs Linux afin de détourner le trafic réseau et les réseaux sociaux. |
| Rakos | 2016 | Ver Linux ciblant principalement les serveurs et les objets connectés mal configurés. |
Contrairement aux botnets Windows de la décennie précédente, Mirai ne reposait pas sur des failles complexes. Il exploitait principalement un problème très courant : les identifiants administrateur par défaut laissés inchangés sur les appareils connectés.
Une fois compromis, les équipements rejoignaient automatiquement le botnet et pouvaient recevoir des ordres pour lancer des attaques DDoS.
Mirai s’est illustré par plusieurs attaques historiques :
- En septembre 2016, une attaque de plus de 620 Gbit/s contre le site du journaliste Brian Krebs.
- Quelques jours plus tard, une attaque dépassant 1 Tbit/s contre l’hébergeur français OVH.
- En octobre 2016, l’attaque contre le fournisseur DNS Dyn, qui a perturbé l’accès à de nombreux services majeurs comme Twitter, GitHub, Netflix, Reddit, Spotify et Airbnb.
Ces événements ont mis en évidence une réalité inquiétante : des appareils peu puissants, mais très nombreux, peuvent générer des attaques d’une ampleur considérable.
À partir de cette période, les opérateurs de botnets ne ciblent plus uniquement les ordinateurs. Les objets connectés (IoT) deviennent une cible privilégiée, car ils présentent plusieurs avantages :
- Ils restent allumés en permanence.
- Ils sont rarement mis à jour.
- Ils utilisent encore des mots de passe par défaut.
- Leurs propriétaires surveillent peu leur activité réseau.
Cette évolution ouvre la voie à une nouvelle génération de botnets spécialisés dans les objets connectés. Les années suivantes verront apparaître des variantes toujours plus sophistiquées, comme Mozi, puis plus récemment BADBOX 2.0 et Kimwolf, qui ne se limitent plus aux attaques DDoS mais exploitent également les appareils compromis comme proxys résidentiels ou plateformes de monétisation.
2017-2020 : les botnets deviennent des plateformes criminelles
À partir de 2017, les botnets changent une nouvelle fois de dimension. Ils ne sont plus seulement utilisés pour envoyer du spam ou lancer des attaques DDoS : ils deviennent de véritables plateformes de cybercriminalité, capables de fournir différents services selon les besoins des groupes criminels.
Les opérateurs cherchent désormais à rentabiliser au maximum chaque appareil compromis. Un même botnet peut être utilisé successivement pour diffuser un malware, installer un ransomware, voler des données ou encore relayer du trafic Internet.
Parmi les botnets les plus représentatifs de cette période figurent :
| Botnet | Année | Particularité |
|---|---|---|
| Emotet | 2017 | D’abord cheval de Troie bancaire, il devient une plateforme de distribution de malwares utilisée par de nombreux groupes criminels. |
| TrickBot | 2017 | Malware modulaire capable de télécharger d’autres charges utiles, notamment des ransomwares comme Ryuk ou Conti. |
| QakBot (Qbot) | 2018 | Cheval de Troie bancaire devenu une plateforme d’accès initial pour les opérateurs de ransomware. |
| Necurs | Jusqu’en 2020 | L’un des plus grands spambots au monde, utilisé pour diffuser Locky, Dridex et d’autres malwares. |
De nouvelles méthodes d’infections par mail
Les méthodes d’infection évoluent également durant cette période. Les cybercriminels délaissent progressivement les vers informatiques exploitant des failles réseau au profit de campagnes massives de phishing.
Les victimes reçoivent des e-mails imitant des factures, des bons de livraison, des devis ou des documents administratifs, contenant une pièce jointe ou un lien malveillant.
Les fichiers utilisés sont notamment :
- Des documents Microsoft Word ou Excel contenant des macros malveillantes.
- Des archives ZIP renfermant des scripts.
- Des fichiers JavaScript (
.js), VBScript (.vbs), Windows Script File (.wsf) ou JScript Encoded (.jse), exécutés par Windows Script Host (WSH). - Des raccourcis Windows (
.lnk), devenus très populaires à partir de 2021. - Plus rarement, des fichiers ISO ou IMG, qui permettaient de contourner certaines protections de Windows.
Une fois exécuté, le premier malware installé (souvent appelé loader ou dropper) télécharge les différents composants du botnet, puis établit la communication avec les serveurs de commande (C2).
Cette évolution marque le passage d’attaques principalement techniques à des campagnes reposant largement sur l’ingénierie sociale, où le facteur humain devient la principale porte d’entrée des botnets modernes.
À lire également :
- Virus Office (Word, Excel) : comment les macros infectent un PC
- Protéger son PC des scripts VBS, JS, HTA et PowerShell malveillants sur Windows
- Désactiver Windows Script Host (WSH) sur Windows 11/10 pour bloquer les scripts malveillants
Porte d’entrée aux réseaux d’entreprise
Contrairement aux générations précédentes, ces botnets ne cherchent plus uniquement à contrôler des ordinateurs. Ils servent également de porte d’entrée (Initial Access) vers les réseaux d’entreprises.
Une fois un poste compromis, ils peuvent :
- Télécharger et installer d’autres malwares
- Déployer un ransomware
- Voler des identifiants
- Se propager sur le réseau local
- Ouvrir un accès distant pour d’autres groupes criminels
Cette évolution s’accompagne d’une professionnalisation du cybercrime. Les différents acteurs se spécialisent :
- certains développent les malwares ;
- d’autres diffusent les infections ;
- d’autres encore exploitent les accès obtenus pour déployer un ransomware ou voler des données.
Les botnets deviennent ainsi de véritables plateformes de services, où un accès à un ordinateur compromis peut être revendu ou loué à d’autres groupes criminels. Ce modèle économique annonce l’émergence du Botnet-as-a-Service (BaaS) et du Malware-as-a-Service (MaaS), qui se développeront fortement au cours des années suivantes.
Cette période marque également une montée en puissance des malwares modulaires. Plutôt que d’effectuer une seule tâche, ils téléchargent dynamiquement les composants nécessaires en fonction des objectifs du botmaster, ce qui les rend beaucoup plus flexibles et difficiles à détecter.
À partir de 2020, une nouvelle évolution apparaît : les cybercriminels s’intéressent de plus en plus aux objets connectés, aux Android TV Box et aux proxys résidentiels, ouvrant la voie à des botnets comme BADBOX 2.0 ou Kimwolf, dont l’objectif principal n’est plus seulement l’attaque, mais également la monétisation de la connexion Internet des victimes.
Depuis 2020 : les botnets deviennent des plateformes de services
Depuis 2020, les botnets connaissent une nouvelle évolution. Leur objectif n’est plus uniquement de contrôler un grand nombre d’ordinateurs, mais de rentabiliser chaque appareil compromis en proposant différents services à d’autres groupes cybercriminels.
Cette nouvelle génération se caractérise par plusieurs tendances :
- Les objets connectés (IoT) deviennent une cible prioritaire.
- Les proxys résidentiels remplacent progressivement le spam comme source de revenus.
- Les malwares modulaires permettent d’ajouter ou de supprimer des fonctionnalités à distance.
- Les infrastructures sont de plus en plus distribuées et résilientes, rendant leur démantèlement plus complexe.
Les botnets les plus représentatifs de cette période sont les suivants.
| Botnet | Année | Particularité |
|---|---|---|
| Emotet | 2021 (retour) | Reprend son activité après son démantèlement et continue de servir de plateforme de distribution de malwares. |
| Mozi | 2020 | Botnet IoT basé sur une architecture P2P, ciblant principalement les routeurs et les objets connectés. |
| Glupteba | 2020 | Utilise la blockchain Bitcoin pour retrouver ses serveurs de commande et renforcer sa résilience. |
| BADBOX 2.0 | 2025 | Botnet ciblant principalement les Android TV Box et autres appareils Android connectés afin d’alimenter un réseau de proxys résidentiels. |
| Kimwolf | 2025 | Botnet Android spécialisé dans les proxys résidentiels, le scan du réseau local et la compromission d’autres appareils Android. |
L’une des principales évolutions concerne les appareils ciblés. Alors que les premiers botnets infectaient essentiellement des ordinateurs Windows, les cybercriminels visent désormais :
- Les Android TV Box
- Les box IPTV
- Les téléviseurs connectés
- Les routeurs
- Les caméras IP
- Les NAS
- Les objets connectés (IoT)
Ces appareils présentent plusieurs avantages : ils restent généralement allumés en permanence, reçoivent peu de mises à jour de sécurité et leurs propriétaires surveillent rarement leur activité réseau.
Les objectifs des opérateurs ont également évolué. Les botnets modernes sont désormais utilisés pour :
- Fournir des services de proxys résidentiels
- Effectuer du web scraping à grande échelle
- Contourner les systèmes anti-bot et les CAPTCHA
- Réaliser de la fraude publicitaire (Ad Fraud)
- Distribuer d’autres malwares ou des ransomwares
- Louer leur infrastructure sous forme de Botnet-as-a-Service (BaaS)
Une autre évolution importante est l’apparition de SDK de proxy résidentiel intégrés directement dans certaines applications ou de firmwares compromis installés sur des appareils dès leur fabrication. Dans ces scénarios, aucun malware classique n’est nécessaire : l’appareil peut relayer du trafic Internet simplement parce qu’il embarque un composant prévu à cet effet.
Cette nouvelle génération montre que les botnets ne sont plus uniquement des réseaux de machines zombies. Ils sont devenus de véritables plateformes de services, capables de monétiser la bande passante, les adresses IP et les ressources de millions d’appareils connectés répartis dans le monde entier.
À lire également :
Quelques autres botnets célèbres
| Botnet | Période | Taille estimée (au plus fort) | Particularité |
|---|---|---|---|
| Zeus | 2007-2014 | Plusieurs millions de PC | Trojan Banker dont le code source a été publié en 2011, à l’origine de nombreuses variantes. |
| SpyEye | 2009-2013 | Plusieurs centaines de milliers de PC | Concurrent direct de Zeus, spécialisé dans le vol d’identifiants bancaires. |
| TDSS (Alureon / TDL) | 2010-2013 | ≈ 90 000 bots actifs | Rootkit très sophistiqué, proxy, téléchargement de malwares et architecture P2P. |
| Carberp | 2010-2012 | Plusieurs dizaines de milliers de PC | Trojan Banker visant principalement les établissements bancaires. |
| Ponmocup | 2011-2017 | 1,2 à 2 millions de PC | L’un des plus grands botnets de téléchargement (downloader), utilisé pour installer d’autres malwares. |
| Bamital | 2010-2013 | ≈ 120 000 PC | Spécialisé dans la fraude publicitaire (Ad Fraud) et la manipulation des résultats de recherche. |
| Koobface | 2008-2012 | 40 000 à 60 000 PC | Propagation via Facebook, MySpace et d’autres réseaux sociaux. |
| Sality | 2003-2014 | Plusieurs centaines de milliers de PC | Virus de fichiers devenu un botnet P2P capable de télécharger d’autres malwares. |
| Gbot (Cycbot) | 2009-2012 | Plusieurs dizaines de milliers de PC | Downloader utilisé pour distribuer d’autres logiciels malveillants. |
| Ramnit | Depuis 2010 | Plus de 350 000 PC (certaines campagnes) | Virus de fichiers devenu un Trojan bancaire et un botnet de vol de données. |
Tous les botnets n’ont pas connu la même notoriété que Storm, Conficker, Mirai ou Emotet. De nombreux réseaux plus spécialisés ont marqué l’évolution de la cybercriminalité en se concentrant sur la fraude bancaire, le click fraud, les réseaux sociaux ou encore la distribution d’autres malwares. Certains, comme Zeus ou TDSS, ont profondément influencé les générations suivantes de malwares.
Les principaux démantèlements de botnets
Depuis le début des années 2010, de nombreuses opérations internationales ont permis de neutraliser certains des plus grands botnets de l’histoire. Elles sont généralement menées par les forces de l’ordre, des organismes comme Europol, Interpol, le FBI, ainsi que des entreprises telles que Microsoft, Google, Lumen, ESET, Symantec ou CrowdStrike.
Le tableau ci-dessous présente les opérations les plus marquantes.
| Année | Botnet | Opération | Taille estimée | Résultat |
|---|---|---|---|---|
| 2010 | Waledac | Microsoft Sinkhole | ~90 000 bots | Saisie des domaines et mise en place d’un sinkhole DNS. |
| 2011 | Rustock | Operation b107 | ~800 000 bots | Saisie des serveurs C2, forte baisse mondiale du spam. |
| 2012 | Bamital | Microsoft / Symantec | ~120 000 bots | Redirection des bots vers des serveurs de désinfection. |
| 2013 | Citadel | Operation b54 | ~1 400 sous-botnets | Plus de 4 000 domaines neutralisés. |
| 2013 | ZeroAccess | Microsoft, Europol, FBI | 1,9 à 2,2 millions de bots | Infrastructures fortement perturbées malgré l’architecture P2P. |
| 2016 | Avalanche | Europol | Infrastructure mondiale | Plus de 800 000 domaines et serveurs neutralisés. |
| 2019 | Retadup | Gendarmerie nationale | ~850 000 machines | Prise de contrôle du C2 et désinstallation automatique du malware. |
| 2021 | Emotet | Europol / Eurojust | Plusieurs centaines de milliers de machines | Les serveurs C2 sont saisis et un désinstalleur est diffusé. |
| 2023 | QakBot | Operation Duck Hunt | ~700 000 appareils | Infrastructure saisie et malware neutralisé. |
| 2023 | Mozi | Collaboration internationale | Plusieurs millions d’appareils IoT | Les opérateurs diffusent une mise à jour mettant fin au botnet. |
Ces opérations montrent que les botnets ne sont pas invulnérables, mais leur démantèlement nécessite souvent plusieurs mois, voire plusieurs années d’enquête. Les opérateurs utilisent des techniques de plus en plus sophistiquées (P2P, DGA, Fast Flux DNS, Tor, blockchain, etc.) afin de rendre leur infrastructure plus résiliente et de compliquer les opérations des autorités.
Conclusion
En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord limités à quelques centaines ou milliers d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont devenus de véritables plateformes criminelles capables de piloter des millions d’appareils connectés, de diffuser des malwares, de lancer des attaques DDoS, de voler des données ou encore de fournir des services de proxys résidentiels.
Cette évolution illustre parfaitement la professionnalisation de la cybercriminalité. Les opérateurs de botnets s’appuient désormais sur des architectures distribuées, des malwares modulaires et des modèles économiques comme le Botnet-as-a-Service (BaaS) afin de rendre leurs infrastructures plus rentables et plus difficiles à démanteler.
Si les grandes opérations internationales ont permis de neutraliser plusieurs botnets emblématiques comme Rustock, ZeroAccess, Emotet ou QakBot, de nouveaux réseaux apparaissent régulièrement en ciblant les objets connectés, les équipements Android ou d’autres appareils insuffisamment sécurisés.
Comprendre l’histoire des botnets permet également de mieux comprendre les menaces actuelles. Les techniques employées aujourd’hui — phishing, chevaux de Troie, loaders, ransomware ou compromission d’objets connectés — sont souvent directement héritées de cette évolution.
La meilleure protection reste d’adopter de bonnes pratiques de sécurité : maintenir Windows et ses logiciels à jour, utiliser un antivirus, se méfier des pièces jointes et des liens suspects, sécuriser les appareils connectés et remplacer les mots de passe par défaut des équipements réseau et IoT.
Ressources utiles et articles liés
- Sécurité informatique : tous les guides complets
- Les virus informatiques : fonctionnement et protections
- Comment les virus informatiques sont distribués
- Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc
- Comment fonctionnent les trojans : les explications
- Trojan Stealer (InfoStealer) : le malware qui vole des données
- Les keylogger ou enregistreur de frappes clavier
- Les virus PowerShell : fonctionnement, dangers et protection
- Vers informatiques (worms) : description et fonctionnement
- Les botnets : définition, fonctionnement, types et protection
- Comment vos appareils connectés peuvent être détournés pour servir de proxy résidentiel
- Business malwares : le Pourquoi des infections informatiques
- Comment les virus informatiques sont distribués.
- La sécurité de son PC, c’est quoi ?
- Trojan Banker : botnet spécialisé dans le vol de compte bancaire
- Savoir si on a un virus sur son PC : 9 signes d’une infection par un malware
L’article Histoire des botnets : 20 ans d’évolution de la cybercriminalité est apparu en premier sur malekal.com.
Outlook for Mac update breaks font selection for message composition

Jamf and Amazon Bedrock partner to secure AI applications on macOS

Apple reportedly cancels budget Vision Pro to focus on smart glasses

Forensic Windows – Partie 4 : exploiter le SuperFetch
SuperFetch (SysMain) recèle de précieuses traces d'exécution. Où trouver ses fichiers Ag*.db et comment les analyser avec SysMainView sous Windows 10 et 11.
Le post Forensic Windows – Partie 4 : exploiter le SuperFetch a été publié sur IT-Connect.
QuimaRAT cross-platform malware targets Windows, macOS, and Linux

container machine : un environnement Linux sur Mac, façon WSL
Faire tourner Linux sur Mac avec container machine, le mode de l'outil Apple Container qui offre un environnement Linux persistant : un équivalent de WSL.
Le post container machine : un environnement Linux sur Mac, façon WSL a été publié sur IT-Connect.
Docky : le Dock de macOS réinventé, gratuit et open source
Docky, remplaçant gratuit et open source du Dock de macOS : widgets, Launchpad, sélecteur de fenêtres… Découvrez ses fonctionnalités.
Le post Docky : le Dock de macOS réinventé, gratuit et open source a été publié sur IT-Connect.
GEEKOM : le top des offres mini PC du Prime Day 2026 sur Amazon
Pour le Prime Day 2026, Geekom casse les prix de ses mini PC sur Amazon : A5, IT12, A6 et A7 MAX en promo. Découvrez notre sélection des meilleures offres.
Le post GEEKOM : le top des offres mini PC du Prime Day 2026 sur Amazon a été publié sur IT-Connect.
Température PC : comment vérifier la température du CPU, du GPU et du SSD ?
Faux mail « Vos données sont sur le dark web » : décryptage d’une arnaque
Comment un faux service d’effacement de données et un abonnement à 49,99 €/mois exploitent peur et IA pour tromper les victimes. Décryptage.
Le post Faux mail « Vos données sont sur le dark web » : décryptage d’une arnaque a été publié sur IT-Connect.
Plus avantageux que le Prime Day : 25 % de remise sur le mini PC Geekom A5 Pro !
En juin 2026, le mini PC Geekom A5 Pro profite de 25 % de réduction et passe à 374 € au lieu de 499 €. Découvrez le code réservé aux lecteurs d'IT-Connect.
Le post Plus avantageux que le Prime Day : 25 % de remise sur le mini PC Geekom A5 Pro ! a été publié sur IT-Connect.
Faux CAPTCHA : l’arnaque qui infecte votre PC avec un malware
De faux CAPTCHA circulent actuellement sur de nombreux sites web et servent à infecter les ordinateurs avec des malwares.
Ces pages frauduleuses imitent des services connus comme :
- Google reCAPTCHA
- Cloudflare
- hCaptcha
afin de pousser l’utilisateur à exécuter une action dangereuse sur son PC.
Les victimes sont généralement invitées à :
- Ouvrir la fenêtre Exécuter avec Windows + R
- Copier/coller une commande PowerShell
- Autoriser des notifications navigateur
- Télécharger un script malveillant
Dans ce guide, découvrez comment reconnaître un faux CAPTCHA, comprendre le fonctionnement de cette arnaque et protéger votre PC contre ces attaques.
Qu’est-ce qu’un faux CAPTCHA malveillant
Les faux CAPTCHA sont des pages frauduleuses imitant les systèmes de vérification humaine utilisés sur internet, comme :
- Google reCAPTCHA
- Cloudflare Turnstile
- Vérifications anti-bot
Leur objectif n’est pas de vérifier que vous êtes humain, mais de vous pousser à exécuter une action dangereuse sur votre ordinateur afin d’infecter le PC avec un malware.
Contrairement à un vrai CAPTCHA, ces fausses pages demandent souvent :
- D’ouvrir la fenêtre Exécuter avec
Windows + R - De copier/coller une commande PowerShell
- D’autoriser des notifications navigateur
- Ou d’exécuter un script malveillant
Les cybercriminels utilisent cette technique pour contourner les protections de sécurité et faire exécuter eux-mêmes le malware par l’utilisateur.
A lire :
Comment fonctionne l’arnaque des faux CAPTCHA
Le scénario est généralement le suivant :
| Étape | Action frauduleuse |
|---|---|
| 1 | L’utilisateur arrive sur une page compromise ou malveillante |
| 2 | Un faux CAPTCHA ou faux Cloudflare apparaît |
| 3 | La page demande d’effectuer une manipulation Windows |
| 4 | Une commande PowerShell ou script est exécuté |
| 5 | Le malware est téléchargé et lancé silencieusement |
Ces attaques utilisent souvent :
- PowerShell
- JavaScript
- Scripts téléchargés à distance
- Commandes encodées
- Chargeurs de malware (“loaders”)
- Afficher des publicités en bas à droite de l’écran

Pourquoi les faux CAPTCHA piègent facilement les utilisateurs
Cette arnaque fonctionne très bien car :
- Les utilisateurs connaissent les CAPTCHA
- Les faux messages semblent légitimes
- Les pages imitent des services connus
- Les victimes pensent résoudre un problème de sécurité ou anti-bot

Ce guide montre aussi un autre type d’arnaque assez similaire :
À quoi ressemble une page de faux CAPTCHA
Les faux CAPTCHA imitent les systèmes de vérification utilisés par des services connus comme :
- Google reCAPTCHA
- Cloudflare
- hCaptcha
- Vérifications anti-bot
L’objectif est de donner l’impression qu’il s’agit d’une vérification de sécurité légitime afin de pousser l’utilisateur à effectuer une action dangereuse.

Les éléments typiques des faux CAPTCHA
| Élément affiché | Objectif des cybercriminels |
|---|---|
| “Je ne suis pas un robot” | Inspirer confiance avec une interface connue |
| Faux logo Cloudflare ou Google | Faire croire à une protection officielle |
| Message “Vérification humaine requise” | Créer un sentiment d’urgence ou de sécurité |
Demande d’utiliser Windows + R | Faire exécuter une commande malveillante |
| Copier/coller une commande | Lancer PowerShell ou un script malware |
| Demande d’autoriser les notifications | Envoyer ensuite du spam ou des arnaques |
| Faux message de sécurité navigateur | Faire croire à un blocage légitime |
Exemples de faux messages CAPTCHA malveillants
Les faux CAPTCHA utilisent souvent des phrases comme :
- “Cliquez sur Autoriser pour vérifier que vous êtes humain”
- “Appuyez sur Windows + R puis collez cette commande”
- “Cloudflare Security Check”
- “Votre navigateur nécessite une vérification”
- “Confirmez que vous n’êtes pas un robot”
Certaines pages affichent également :
- Une fausse animation de chargement
- Un faux scan de sécurité
- Un faux blocage navigateur
- Des alertes de sécurité alarmantes

Quels malwares sont diffusés par les faux CAPTCHA
Les faux CAPTCHA sont aujourd’hui utilisés pour diffuser de nombreux types de malwares. Une fois la commande exécutée ou la permission accordée, le malware peut être téléchargé discrètement sur le PC sans que l’utilisateur s’en aperçoive immédiatement.
Les cybercriminels utilisent souvent :
- PowerShell et Malware FileLess
- JavaScript
- Scripts distants
- Chargeurs de malware (“loaders”)
- Notifications navigateur malveillantes
Voici les principales menaces diffusées via ces faux CAPTCHA :
| Type de menace | Objectif du malware | Conséquences possibles |
|---|---|---|
| Infostealer | Voler les mots de passe, cookies et données navigateur | Comptes Google, Microsoft, Discord, Steam ou réseaux sociaux compromis |
| Cheval de Troie (Trojan) | Ouvrir un accès distant au PC | Contrôle à distance et installation d’autres malwares |
| Ransomware | Chiffrer les fichiers du PC | Demande de rançon et perte de données |
| Malware bancaire | Intercepter les données bancaires | Vol de comptes ou paiements frauduleux |
| Loader / Downloader | Télécharger d’autres malwares | Infection silencieuse du système |
| Cryptominer | Utiliser le PC pour miner de la cryptomonnaie | PC lent, forte utilisation CPU/GPU |
| Notifications navigateur malveillantes | Envoyer du spam, publicités ou fausses alertes | Popups, arnaques, redirections dangereuses |
| Adware | Afficher des publicités ou modifier le navigateur | Navigation perturbée et risques supplémentaires |
Les faux CAPTCHA et les notifications navigateur malveillantes
De nombreux faux CAPTCHA demandent également :
- De cliquer sur Autoriser
- Ou d’accepter les notifications navigateur
Une fois autorisées, ces notifications peuvent ensuite afficher :
- Des publicités frauduleuses
- De faux antivirus
- De fausses alertes Windows
- Des arnaques au support technique
- Des liens vers d’autres malwares
Même sans installer de malware directement, ces notifications peuvent devenir très envahissantes et dangereuses.
Supprimer les publicités en bas à droite et notification sur Chrome, Firefox, Opera ou Smartphone :

Pourquoi les faux CAPTCHA sont dangereux
Les faux CAPTCHA sont particulièrement efficaces car :
- L’utilisateur exécute lui-même la commande
- Certains antivirus détectent difficilement l’attaque au départ
- L’infection peut rester silencieuse plusieurs heures ou jours
Dans certains cas, les données volées sont revendues ou utilisées très rapidement après l’infection.
Comment reconnaître un faux CAPTCHA
Les faux CAPTCHA cherchent à imiter les systèmes de vérification légitimes afin de pousser l’utilisateur à exécuter une action dangereuse. Certains indices permettent toutefois de repérer rapidement une tentative d’arnaque.
Les signes d’un faux CAPTCHA malveillant
| Élément suspect | Pourquoi c’est dangereux |
|---|---|
Demande d’utiliser Windows + R | Un vrai CAPTCHA ne demande jamais d’ouvrir la fenêtre Exécuter |
| Copier/coller une commande PowerShell | Technique utilisée pour lancer un malware |
| Demande d’exécuter une commande système | Aucun service légitime ne demande cela via une page web |
| Faux message Cloudflare ou Google | Les cybercriminels imitent souvent des services connus |
| Bouton “Autoriser” pour les notifications | Peut déclencher du spam navigateur et des arnaques |
| Message alarmant ou urgent | Technique de manipulation pour pousser à agir rapidement |
| URL étrange ou inconnue | Les faux CAPTCHA utilisent souvent des domaines suspects |
| Téléchargement automatique | Un CAPTCHA ne doit jamais télécharger un fichier |
| Page plein écran bloquée | Souvent utilisée pour empêcher l’utilisateur de quitter la page |
Les faux CAPTCHA imitent des services connus
Les cybercriminels copient souvent :
- Google reCAPTCHA
- Cloudflare
- hCaptcha
- Vérifications anti-bot
Les pages peuvent sembler très crédibles avec :
- Logos officiels
- Animations de chargement
- Messages de sécurité
- Interface proche des vrais CAPTCHA
L’objectif est de donner confiance afin que l’utilisateur :
- Exécute une commande
- Autorise des notifications
- Télécharge un script malveillant
Que faire si vous avez exécuté une commande d’un faux CAPTCHA
Si vous avez exécuté la commande demandée par le faux CAPTCHA, il est possible que le PC ait été infecté par un malware, même si aucun fichier visible n’a été téléchargé.
Dans ce cas, il est recommandé d’agir rapidement afin de limiter les risques :
- Déconnectez le PC d’internet
- Fermez le navigateur
- Lancez une analyse antivirus complète
- Vérifiez les extensions du navigateur
- Changez les mots de passe importants depuis un appareil sain
- Contrôlez les sessions Google, Microsoft, Steam ou réseaux sociaux
Même si le PC semble fonctionner normalement, une infection peut rester discrète pendant plusieurs heures ou jours.
Guide complet pour supprimer un virus et désinfecter le PC :
Comment éviter les faux CAPTCHA et les pages malveillantes
Les faux CAPTCHA exploitent principalement la méfiance limitée des utilisateurs et les poussent à exécuter eux-mêmes des actions dangereuses. Quelques bonnes pratiques permettent toutefois d’éviter la grande majorité de ces arnaques.
Les règles de sécurité contre les faux CAPTCHA
| Bonne pratique | Pourquoi c’est important |
|---|---|
| Ne jamais exécuter une commande depuis une page web | Un vrai CAPTCHA ne demande jamais cela |
Ne jamais utiliser Windows + R à la demande d’un site | Technique fréquemment utilisée pour lancer des malwares |
| Refuser les notifications suspectes | Évite le spam navigateur et les arnaques |
| Vérifier l’adresse du site web | Les faux CAPTCHA utilisent souvent des domaines suspects |
| Maintenir Windows et le navigateur à jour | Corrige les failles de sécurité exploitées par les pirates |
| Utiliser un antivirus à jour | Permet de bloquer certaines attaques et scripts malveillants |
| Utiliser un bloqueur de publicités ou scripts | Réduit les risques de redirections vers des pages frauduleuses |
| Se méfier des messages alarmants | Les cybercriminels utilisent souvent l’urgence pour manipuler les victimes |
Pour aller plus loin :
Ce qu’un vrai CAPTCHA ne fera jamais
Un vrai CAPTCHA ne demandera jamais :
- D’ouvrir PowerShell
- D’utiliser Windows + R
- De copier/coller une commande
- De télécharger ou installer un logiciel
- De désactiver l’antivirus
- D’autoriser des notifications pour continuer
Si une page web demande ce type d’action, il s’agit presque toujours d’une tentative d’infection ou d’arnaque visant à exécuter un malware sur votre PC
Sécuriser Windows et son navigateur contre les faux CAPTCHA
Pour limiter les risques :
- Maintenez Windows Update actif
- Utilisez Microsoft Defender ou un antivirus fiable
- Vérifiez régulièrement les extensions navigateur
- Désactivez les notifications suspectes
- Utilisez un navigateur à jour
Guide complet :
Ressources utiles et articles liés
- Les virus informatiques : fonctionnement et protections
- Comment les virus informatiques sont distribués
- Comment fonctionnent les trojans : les explications
- Liste des détections antivirus : exemples de malwares, trojans, PUP, adwares
- Trojan Stealer : le malware qui vole des données
- Les keylogger ou enregistreur de frappes clavier
- Trojan PowerShell
- Vers informatiques (worms) : description et fonctionnement
- Qu’est-ce que les spywares (logiciel espion) et comment les supprimer
- Les Trojans Banker
- Comprendre le Trojan Downloader : rôle, fonctionnement, exemples, protection
- Les virus sur Android
- Trojan RAT (Remote Access Tool)
- Les botnets : réseau de machines infectées
- Malwares et virus informatiques : pourquoi existent-ils et quels sont leurs objectifs ?
- Le business des malwares : comment les cybercriminels gagnent de l’argent avec les infections
- La sécurité de son PC, c’est quoi ?
- Savoir si on a un virus sur son PC : 9 signes d’une infection par un malware
L’article Faux CAPTCHA : l’arnaque qui infecte votre PC avec un malware est apparu en premier sur malekal.com.
Comment configurer l’enregistrement DMARC pour Office 365 / Microsoft 365
Nous y voilà ! La dernière étape pour correctement configurer et protéger votre adresse e-mail. Nous avons récemment vu comment configurer DKIM ou encore le SPF qui sont deux méthodes pour authentifier vos e-mails. Aujourd’hui nous allons parler du DMARC. Le Domain-based Message Authentication, Reporting and Conformance est un protocole qui assure la protection des … 
