Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Histoire des botnets : 20 ans d’évolution de la cybercriminalité

Par : malekalmorte
9 juillet 2026 à 08:42

Depuis le début des années 2000, les botnets ont profondément transformé le paysage de la cybercriminalité. D’abord utilisés pour envoyer des campagnes massives de spam ou lancer des attaques par déni de service (DDoS), ils sont progressivement devenus de véritables plateformes criminelles, capables de diffuser des malwares, déployer des ransomwares, réaliser de la fraude publicitaire (Ad Fraud), fournir des proxys résidentiels ou encore être loués sous forme de Botnet-as-a-Service (BaaS).

Cette évolution s’est accompagnée de nombreux changements techniques : apparition des architectures pair-à-pair (P2P), des algorithmes DGA, du Fast Flux DNS, des rootkits, puis des botnets ciblant les objets connectés (IoT) et les Android TV Box. Les opérations de démantèlement menées par Microsoft, Europol, le FBI et d’autres acteurs ont également joué un rôle majeur dans cette course permanente entre cybercriminels et défenseurs.

Dans ce dossier, découvrez l’histoire des botnets, leur évolution au fil des années, les principaux réseaux qui ont marqué la cybersécurité, les grandes opérations de démantèlement et les nouvelles tendances qui façonnent les botnets modernes.

✋
Pour tout savoir sur le fonctionnement d’un botnet, consultez : Les botnets : définition, fonctionnement, types et protection

Les grandes étapes de l’évolution des botnets

En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord simples réseaux d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont progressivement devenus des plateformes criminelles sophistiquées capables de diffuser des malwares, lancer des attaques DDoS, exploiter des objets connectés ou fournir des services de proxys résidentiels.

La frise ci-dessous résume les principales étapes de cette évolution.

Frise chronologique de l'histoire des botnets 20 ans d'évolution

Les premiers botnets (2000-2006)

Les premiers botnets apparaissent au début des années 2000, à une époque où Internet connaît une forte croissance et où les ordinateurs personnels sont de plus en plus connectés en permanence. Les cybercriminels découvrent alors qu’il est beaucoup plus efficace de contrôler des milliers d’ordinateurs à distance que d’agir depuis leur propre machine.

À cette époque, les botnets restent relativement simples. Ils sont principalement composés de PC Windows infectés et utilisent un modèle client/serveur reposant sur des serveurs IRC (Internet Relay Chat). Les ordinateurs compromis rejoignent automatiquement un canal de discussion (channel), sur lequel le botmaster envoie ses commandes.

Le fonctionnement est alors le suivant :

Infographie d'un botnet IRC pour comprendre le fonctionnement

Ces premiers botnets sont utilisés pour plusieurs activités malveillantes :

  • Lancer des attaques DDoS
  • Envoyer des campagnes de spam
  • Télécharger et installer d’autres malwares
  • Ouvrir une porte dérobée (backdoor) sur les ordinateurs infectés

Parmi les botnets les plus connus de cette période figurent :

BotnetParticularité
GTBotL’un des premiers botnets basés sur IRC.
Agobot (Gaobot)Très modulaire, il exploitait de nombreuses vulnérabilités Windows et pouvait lancer des attaques DDoS.
SDBotBotnet IRC largement diffusé, souvent utilisé pour des attaques DDoS et l’installation d’autres malwares.
SpyBotUtilisé pour le contrôle à distance, les attaques DDoS et le téléchargement de nouveaux composants malveillants.

À cette époque, les botnets étaient encore principalement développés par des individus ou de petits groupes. Leur objectif était souvent de démontrer leurs compétences techniques, de perturber des services en ligne ou de contrôler un grand nombre de machines.

Cette période marque toutefois les débuts d’une évolution qui transformera progressivement les botnets en véritables infrastructures criminelles, capables de générer des revenus importants grâce au spam, au vol de données, à la fraude publicitaire ou encore aux proxys résidentiels. Les années suivantes verront apparaître des botnets beaucoup plus massifs, comme Storm puis Conficker, qui changeront profondément l’échelle de la cybercriminalité.

Botnet d'une Backdoor IRC diffusées par MSN

2007-2012 : les grands botnets Windows

Entre 2007 et 2012, les botnets connaissent une croissance spectaculaire. Cette période est souvent considérée comme l’âge d’or des botnets Windows. Grâce aux campagnes massives de spam, aux vers informatiques (worms) et à l’exploitation de failles de sécurité, certains réseaux atteignent plusieurs millions d’ordinateurs infectés.

Les cybercriminels commencent également à se structurer. Les botnets ne sont plus uniquement développés par des passionnés ou de petits groupes, mais par de véritables organisations criminelles, où chacun possède un rôle bien défini : développement des malwares, gestion des serveurs, diffusion des infections, exploitation des données et blanchiment des revenus.

Les principaux botnets de cette période sont les suivants.

BotnetAnnéeParticularité
Storm2007Premier botnet de très grande ampleur, utilisé pour le spam et les attaques DDoS.
Conficker2008Ver informatique ayant infecté jusqu’à 15 millions d’ordinateurs grâce à une faille Windows et aux supports amovibles.
Rustock2006-2011L’un des plus importants spambots au monde, capable d’envoyer jusqu’à 200 millions de spams par jour.
Cutwail (Pushdo)2007Immense réseau spécialisé dans l’envoi de courriers indésirables et de campagnes de phishing.
Waledac2008Botnet de spam utilisant des techniques avancées de communication P2P.
Kelihos2010Successeur de Waledac, principalement utilisé pour le spam et le téléchargement d’autres malwares.

Durant cette période, les spambots dominent largement le paysage. Les revenus proviennent principalement :

  • de l’envoi massif de courriers indésirables (spam) ;
  • des campagnes de phishing ;
  • de la diffusion de faux antivirus (rogues) ;
  • de l’installation d’autres malwares.

Plusieurs botnets commencent à intégrer des rootkits afin d’améliorer leur discrétion. Un rootkit permet de masquer les fichiers, les processus, les connexions réseau ou encore les clés du Registre utilisés par le malware. Cette technique rend la détection beaucoup plus difficile et permet au botnet de rester actif pendant de longues périodes sans être remarqué. Des botnets comme Rustock ou, plus tard, TDSS (Alureon) illustrent parfaitement cette évolution.

👉A lire :

Parallèlement, les techniques utilisées par les botnets évoluent rapidement. Les opérateurs mettent en place des architectures P2P, des algorithmes DGA (Domain Generation Algorithm) et des communications chiffrées afin de rendre leur démantèlement plus difficile.

Cette période marque également le début des grandes opérations internationales de démantèlement. Microsoft, les éditeurs de sécurité et les forces de l’ordre commencent à coordonner leurs actions afin de saisir les serveurs de commande (C2), mettre en place des sinkholes DNS et neutraliser les infrastructures utilisées par les cybercriminels.

À partir de 2010, le modèle économique évolue progressivement. Les botnets ne servent plus uniquement à envoyer du spam : ils deviennent des plateformes de services, capables de distribuer d’autres malwares, de réaliser de la fraude publicitaire ou de générer des revenus grâce à de nouvelles activités criminelles. Cette professionnalisation ouvrira la voie à la génération suivante de botnets, comme ZeroAccess, TDSS ou Necurs.

Des botnet gigantesques

Malware / BotnetTaille du botnet (au meilleur)Année
Rustock540 000 à 810 0002006 à 2010 – shutdown : Operation b107
Cutwail (Pushdo / Pandex)1 100 000 à 1 600 0002007 – encore actif
Bagle520 000 à 780 0002004 à 2012
Srizbienviron 450 0002007/2008
Grum (Tedroo)580 000 à 860 0002008 – Takedown 2012
Maazben240 000 à 360 0002009
Bredolab (Oficla)~220 0002009 – down en 2010 par les autorités Allemandes. Le botmaster, un arménien est arreté et condamndé à 4 ans de prison.
Lethic210 000 – 310 0002008 – semi-down en 2010
Festi140 000 à 220 0002009
Donbot (Buzus)~125 0002010 – Sinkhole en 2012 mais revenu
Kelihos (Possible suite de Waledac)~120 0002009 – Voir Waledac
Bobax (Kraken/Oderoor/Hacktool.spammer)110 000 à 160 0002004
Waledac~90 0002008 – 2010 – TD par Microsoft
Retour en 2012
TD début 2017+arrestation
Mega-D (Ozdok)50 000 à 70 0002009 – down en 2009 par FireEye, remis en ligne un mois après.
Gheg (Tofsee/Mondera)50 000 à 70 0002013
Xarvester (Rlsloup/Pixoliz)20 000 à 36 0002010

2010-2015 : la professionnalisation des botnets

À partir de 2010, les botnets évoluent profondément. Les cybercriminels ne cherchent plus seulement à envoyer du spam ou à lancer des attaques DDoS : ils transforment leurs infrastructures en véritables plateformes criminelles, capables de générer des revenus de multiples façons.

Les groupes derrière ces botnets deviennent également beaucoup plus organisés. Ils se répartissent les tâches entre plusieurs équipes spécialisées :

  • Les développeurs, qui conçoivent les malwares et les techniques d’évasion.
  • Les opérateurs, qui administrent le botnet et les serveurs C2.
  • Les équipes chargées de la diffusion, qui infectent de nouveaux appareils.
  • Les affiliés, qui monétisent le botnet via différentes activités criminelles.

Cette période voit également apparaître les premiers modèles de Malware-as-a-Service (MaaS). Certains groupes vendent ou louent leurs malwares, tandis que d’autres paient pour faire installer leurs propres logiciels malveillants sur des ordinateurs déjà compromis.

Les botnets les plus emblématiques de cette période sont les suivants.

BotnetAnnéeParticularité
TDSS (Alureon / TDL)2010Botnet reposant sur un rootkit très sophistiqué, utilisé pour le proxy, le click fraud et le téléchargement d’autres malwares.
ZeroAccess (Sirefef)2011Botnet P2P spécialisé dans le cryptominage et la fraude publicitaire (Ad Fraud).
Citadel2011Évolution de Zeus, largement utilisée pour les attaques bancaires et les campagnes de malware.
Ponmocup2011L’un des plus grands botnets de téléchargement (downloader), utilisé pour installer d’autres malwares.
Necurs2012Immense botnet spécialisé dans le spam et la distribution de ransomwares et de chevaux de Troie bancaires.

Les activités évoluent elles aussi rapidement. Les opérateurs ne se limitent plus au spam et développent de nouvelles sources de revenus :

  • Fraude publicitaire (Ad Fraud) en simulant des clics sur des publicités.
  • Cryptominage, utilisant la puissance de calcul des ordinateurs compromis.
  • Installation de chevaux de Troie bancaires, comme Zeus ou Citadel.
  • Distribution d’autres malwares, les groupes étant rémunérés pour installer un logiciel malveillant sur les appareils infectés.
  • Services de proxy, revendant déjà l’accès à des connexions Internet compromises.

Cette période marque également une avancée technique importante. Les botnets adoptent progressivement :

  • Les architectures P2P, afin d’éliminer les points de défaillance uniques.
  • Les algorithmes DGA, pour renouveler automatiquement les domaines utilisés par les serveurs C2.
  • Les rootkits, qui masquent le malware et renforcent sa persistance.
  • Des communications chiffrées, rendant l’analyse réseau beaucoup plus difficile.

ZeroAccess (également connu sous les noms Sirefef ou Max++) est un malware et un botnet apparu vers 2011. Il se distingue par son architecture pair-à-pair (P2P), qui le rend particulièrement résistant aux tentatives de démantèlement.

Contrairement aux spambots de l’époque, ZeroAccess est principalement utilisé pour la fraude publicitaire (click fraud) et, sur certaines variantes, pour le cryptominage de Bitcoin. Il peut également télécharger et installer d’autres logiciels malveillants sur les ordinateurs compromis.

Au plus fort de son activité, la taille du botnet est estimée entre 1,9 et 2,2 millions d’ordinateurs infectés, avec environ 800 000 bots actifs simultanément selon Microsoft.

En 2013, une opération conjointe menée par Microsoft, Europol (EC3), le FBI et plusieurs partenaires industriels, dont A10 Networks, a fortement perturbé le botnet en neutralisant une partie de son infrastructure. Malgré cela, son architecture P2P lui a permis de survivre plusieurs mois avant de perdre progressivement de son importance

Les grandes opérations internationales de démantèlement se multiplient également. Des botnets comme Citadel, ZeroAccess ou TDSS subissent d’importantes perturbations grâce à la coopération entre les éditeurs de sécurité, les hébergeurs, les registrars et les forces de l’ordre.

Cette professionnalisation prépare l’arrivée d’une nouvelle génération de botnets. À partir de 2016, les cybercriminels ne ciblent plus uniquement les ordinateurs : les objets connectés (IoT) deviennent à leur tour une cible privilégiée, ouvrant la voie à des botnets comme Mirai, capables de contrôler des centaines de milliers de caméras IP, de routeurs et d’autres équipements connectés.

2016 : l’arrivée des objets connectés

L’année 2016 marque un tournant majeur dans l’histoire des botnets. Jusqu’alors, les cybercriminels ciblaient principalement les ordinateurs Windows. Avec l’essor des objets connectés (IoT), ils découvrent un nouveau terrain de jeu : des millions d’appareils connectés à Internet, souvent mal sécurisés et laissés avec leurs paramètres par défaut.

Les premières victimes sont notamment :

  • Les caméras IP
  • Les routeurs
  • Les enregistreurs vidéo (DVR)
  • Les box Internet
  • Les objets connectés utilisant Linux embarqué

Le botnet qui symbolise cette évolution est Mirai, découvert en 2016.

BotnetAnnéeParticularité
Mirai2016Premier botnet IoT de très grande ampleur, exploitant les mots de passe par défaut des objets connectés pour lancer des attaques DDoS massives.
Linux/Moose2015Botnet ciblant les routeurs Linux afin de détourner le trafic réseau et les réseaux sociaux.
Rakos2016Ver Linux ciblant principalement les serveurs et les objets connectés mal configurés.

Contrairement aux botnets Windows de la décennie précédente, Mirai ne reposait pas sur des failles complexes. Il exploitait principalement un problème très courant : les identifiants administrateur par défaut laissés inchangés sur les appareils connectés.

Une fois compromis, les équipements rejoignaient automatiquement le botnet et pouvaient recevoir des ordres pour lancer des attaques DDoS.

Mirai s’est illustré par plusieurs attaques historiques :

  • En septembre 2016, une attaque de plus de 620 Gbit/s contre le site du journaliste Brian Krebs.
  • Quelques jours plus tard, une attaque dépassant 1 Tbit/s contre l’hébergeur français OVH.
  • En octobre 2016, l’attaque contre le fournisseur DNS Dyn, qui a perturbé l’accès à de nombreux services majeurs comme Twitter, GitHub, Netflix, Reddit, Spotify et Airbnb.

Ces événements ont mis en évidence une réalité inquiétante : des appareils peu puissants, mais très nombreux, peuvent générer des attaques d’une ampleur considérable.

À partir de cette période, les opérateurs de botnets ne ciblent plus uniquement les ordinateurs. Les objets connectés (IoT) deviennent une cible privilégiée, car ils présentent plusieurs avantages :

  • Ils restent allumés en permanence.
  • Ils sont rarement mis à jour.
  • Ils utilisent encore des mots de passe par défaut.
  • Leurs propriétaires surveillent peu leur activité réseau.

Cette évolution ouvre la voie à une nouvelle génération de botnets spécialisés dans les objets connectés. Les années suivantes verront apparaître des variantes toujours plus sophistiquées, comme Mozi, puis plus récemment BADBOX 2.0 et Kimwolf, qui ne se limitent plus aux attaques DDoS mais exploitent également les appareils compromis comme proxys résidentiels ou plateformes de monétisation.

2017-2020 : les botnets deviennent des plateformes criminelles

À partir de 2017, les botnets changent une nouvelle fois de dimension. Ils ne sont plus seulement utilisés pour envoyer du spam ou lancer des attaques DDoS : ils deviennent de véritables plateformes de cybercriminalité, capables de fournir différents services selon les besoins des groupes criminels.

Les opérateurs cherchent désormais à rentabiliser au maximum chaque appareil compromis. Un même botnet peut être utilisé successivement pour diffuser un malware, installer un ransomware, voler des données ou encore relayer du trafic Internet.

Parmi les botnets les plus représentatifs de cette période figurent :

BotnetAnnéeParticularité
Emotet2017D’abord cheval de Troie bancaire, il devient une plateforme de distribution de malwares utilisée par de nombreux groupes criminels.
TrickBot2017Malware modulaire capable de télécharger d’autres charges utiles, notamment des ransomwares comme Ryuk ou Conti.
QakBot (Qbot)2018Cheval de Troie bancaire devenu une plateforme d’accès initial pour les opérateurs de ransomware.
NecursJusqu’en 2020L’un des plus grands spambots au monde, utilisé pour diffuser Locky, Dridex et d’autres malwares.

De nouvelles méthodes d’infections par mail

Les méthodes d’infection évoluent également durant cette période. Les cybercriminels délaissent progressivement les vers informatiques exploitant des failles réseau au profit de campagnes massives de phishing.

Les victimes reçoivent des e-mails imitant des factures, des bons de livraison, des devis ou des documents administratifs, contenant une pièce jointe ou un lien malveillant.

Les fichiers utilisés sont notamment :

  • Des documents Microsoft Word ou Excel contenant des macros malveillantes.
  • Des archives ZIP renfermant des scripts.
  • Des fichiers JavaScript (.js), VBScript (.vbs), Windows Script File (.wsf) ou JScript Encoded (.jse), exécutés par Windows Script Host (WSH).
  • Des raccourcis Windows (.lnk), devenus très populaires à partir de 2021.
  • Plus rarement, des fichiers ISO ou IMG, qui permettaient de contourner certaines protections de Windows.

Une fois exécuté, le premier malware installé (souvent appelé loader ou dropper) télécharge les différents composants du botnet, puis établit la communication avec les serveurs de commande (C2).

Cette évolution marque le passage d’attaques principalement techniques à des campagnes reposant largement sur l’ingénierie sociale, où le facteur humain devient la principale porte d’entrée des botnets modernes.

👉 À lire également :

Porte d’entrée aux réseaux d’entreprise

Contrairement aux générations précédentes, ces botnets ne cherchent plus uniquement à contrôler des ordinateurs. Ils servent également de porte d’entrée (Initial Access) vers les réseaux d’entreprises.

Une fois un poste compromis, ils peuvent :

  • Télécharger et installer d’autres malwares
  • Déployer un ransomware
  • Voler des identifiants
  • Se propager sur le réseau local
  • Ouvrir un accès distant pour d’autres groupes criminels

Cette évolution s’accompagne d’une professionnalisation du cybercrime. Les différents acteurs se spécialisent :

  • certains développent les malwares ;
  • d’autres diffusent les infections ;
  • d’autres encore exploitent les accès obtenus pour déployer un ransomware ou voler des données.

Les botnets deviennent ainsi de véritables plateformes de services, où un accès à un ordinateur compromis peut être revendu ou loué à d’autres groupes criminels. Ce modèle économique annonce l’émergence du Botnet-as-a-Service (BaaS) et du Malware-as-a-Service (MaaS), qui se développeront fortement au cours des années suivantes.

Cette période marque également une montée en puissance des malwares modulaires. Plutôt que d’effectuer une seule tâche, ils téléchargent dynamiquement les composants nécessaires en fonction des objectifs du botmaster, ce qui les rend beaucoup plus flexibles et difficiles à détecter.

À partir de 2020, une nouvelle évolution apparaît : les cybercriminels s’intéressent de plus en plus aux objets connectés, aux Android TV Box et aux proxys résidentiels, ouvrant la voie à des botnets comme BADBOX 2.0 ou Kimwolf, dont l’objectif principal n’est plus seulement l’attaque, mais également la monétisation de la connexion Internet des victimes.

Depuis 2020 : les botnets deviennent des plateformes de services

Depuis 2020, les botnets connaissent une nouvelle évolution. Leur objectif n’est plus uniquement de contrôler un grand nombre d’ordinateurs, mais de rentabiliser chaque appareil compromis en proposant différents services à d’autres groupes cybercriminels.

Cette nouvelle génération se caractérise par plusieurs tendances :

  • Les objets connectés (IoT) deviennent une cible prioritaire.
  • Les proxys résidentiels remplacent progressivement le spam comme source de revenus.
  • Les malwares modulaires permettent d’ajouter ou de supprimer des fonctionnalités à distance.
  • Les infrastructures sont de plus en plus distribuées et résilientes, rendant leur démantèlement plus complexe.

Les botnets les plus représentatifs de cette période sont les suivants.

BotnetAnnéeParticularité
Emotet2021 (retour)Reprend son activité après son démantèlement et continue de servir de plateforme de distribution de malwares.
Mozi2020Botnet IoT basé sur une architecture P2P, ciblant principalement les routeurs et les objets connectés.
Glupteba2020Utilise la blockchain Bitcoin pour retrouver ses serveurs de commande et renforcer sa résilience.
BADBOX 2.02025Botnet ciblant principalement les Android TV Box et autres appareils Android connectés afin d’alimenter un réseau de proxys résidentiels.
Kimwolf2025Botnet Android spécialisé dans les proxys résidentiels, le scan du réseau local et la compromission d’autres appareils Android.

L’une des principales évolutions concerne les appareils ciblés. Alors que les premiers botnets infectaient essentiellement des ordinateurs Windows, les cybercriminels visent désormais :

  • Les Android TV Box
  • Les box IPTV
  • Les téléviseurs connectés
  • Les routeurs
  • Les caméras IP
  • Les NAS
  • Les objets connectés (IoT)

Ces appareils présentent plusieurs avantages : ils restent généralement allumés en permanence, reçoivent peu de mises à jour de sécurité et leurs propriétaires surveillent rarement leur activité réseau.

Les objectifs des opérateurs ont également évolué. Les botnets modernes sont désormais utilisés pour :

  • Fournir des services de proxys résidentiels
  • Effectuer du web scraping à grande échelle
  • Contourner les systèmes anti-bot et les CAPTCHA
  • Réaliser de la fraude publicitaire (Ad Fraud)
  • Distribuer d’autres malwares ou des ransomwares
  • Louer leur infrastructure sous forme de Botnet-as-a-Service (BaaS)

Une autre évolution importante est l’apparition de SDK de proxy résidentiel intégrés directement dans certaines applications ou de firmwares compromis installés sur des appareils dès leur fabrication. Dans ces scénarios, aucun malware classique n’est nécessaire : l’appareil peut relayer du trafic Internet simplement parce qu’il embarque un composant prévu à cet effet.

Cette nouvelle génération montre que les botnets ne sont plus uniquement des réseaux de machines zombies. Ils sont devenus de véritables plateformes de services, capables de monétiser la bande passante, les adresses IP et les ressources de millions d’appareils connectés répartis dans le monde entier.

👉 À lire également :

Quelques autres botnets célèbres

BotnetPériodeTaille estimée (au plus fort)Particularité
Zeus2007-2014Plusieurs millions de PCTrojan Banker dont le code source a été publié en 2011, à l’origine de nombreuses variantes.
SpyEye2009-2013Plusieurs centaines de milliers de PCConcurrent direct de Zeus, spécialisé dans le vol d’identifiants bancaires.
TDSS (Alureon / TDL)2010-2013≈ 90 000 bots actifsRootkit très sophistiqué, proxy, téléchargement de malwares et architecture P2P.
Carberp2010-2012Plusieurs dizaines de milliers de PCTrojan Banker visant principalement les établissements bancaires.
Ponmocup2011-20171,2 à 2 millions de PCL’un des plus grands botnets de téléchargement (downloader), utilisé pour installer d’autres malwares.
Bamital2010-2013≈ 120 000 PCSpécialisé dans la fraude publicitaire (Ad Fraud) et la manipulation des résultats de recherche.
Koobface2008-201240 000 à 60 000 PCPropagation via Facebook, MySpace et d’autres réseaux sociaux.
Sality2003-2014Plusieurs centaines de milliers de PCVirus de fichiers devenu un botnet P2P capable de télécharger d’autres malwares.
Gbot (Cycbot)2009-2012Plusieurs dizaines de milliers de PCDownloader utilisé pour distribuer d’autres logiciels malveillants.
RamnitDepuis 2010Plus de 350 000 PC (certaines campagnes)Virus de fichiers devenu un Trojan bancaire et un botnet de vol de données.

Tous les botnets n’ont pas connu la même notoriété que Storm, Conficker, Mirai ou Emotet. De nombreux réseaux plus spécialisés ont marqué l’évolution de la cybercriminalité en se concentrant sur la fraude bancaire, le click fraud, les réseaux sociaux ou encore la distribution d’autres malwares. Certains, comme Zeus ou TDSS, ont profondément influencé les générations suivantes de malwares.

Les principaux démantèlements de botnets

Depuis le début des années 2010, de nombreuses opérations internationales ont permis de neutraliser certains des plus grands botnets de l’histoire. Elles sont généralement menées par les forces de l’ordre, des organismes comme Europol, Interpol, le FBI, ainsi que des entreprises telles que Microsoft, Google, Lumen, ESET, Symantec ou CrowdStrike.

Le tableau ci-dessous présente les opérations les plus marquantes.

AnnéeBotnetOpérationTaille estiméeRésultat
2010WaledacMicrosoft Sinkhole~90 000 botsSaisie des domaines et mise en place d’un sinkhole DNS.
2011RustockOperation b107~800 000 botsSaisie des serveurs C2, forte baisse mondiale du spam.
2012BamitalMicrosoft / Symantec~120 000 botsRedirection des bots vers des serveurs de désinfection.
2013CitadelOperation b54~1 400 sous-botnetsPlus de 4 000 domaines neutralisés.
2013ZeroAccessMicrosoft, Europol, FBI1,9 à 2,2 millions de botsInfrastructures fortement perturbées malgré l’architecture P2P.
2016AvalancheEuropolInfrastructure mondialePlus de 800 000 domaines et serveurs neutralisés.
2019RetadupGendarmerie nationale~850 000 machinesPrise de contrôle du C2 et désinstallation automatique du malware.
2021EmotetEuropol / EurojustPlusieurs centaines de milliers de machinesLes serveurs C2 sont saisis et un désinstalleur est diffusé.
2023QakBotOperation Duck Hunt~700 000 appareilsInfrastructure saisie et malware neutralisé.
2023MoziCollaboration internationalePlusieurs millions d’appareils IoTLes opérateurs diffusent une mise à jour mettant fin au botnet.

Ces opérations montrent que les botnets ne sont pas invulnérables, mais leur démantèlement nécessite souvent plusieurs mois, voire plusieurs années d’enquête. Les opérateurs utilisent des techniques de plus en plus sophistiquées (P2P, DGA, Fast Flux DNS, Tor, blockchain, etc.) afin de rendre leur infrastructure plus résiliente et de compliquer les opérations des autorités.

Conclusion

En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord limités à quelques centaines ou milliers d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont devenus de véritables plateformes criminelles capables de piloter des millions d’appareils connectés, de diffuser des malwares, de lancer des attaques DDoS, de voler des données ou encore de fournir des services de proxys résidentiels.

Cette évolution illustre parfaitement la professionnalisation de la cybercriminalité. Les opérateurs de botnets s’appuient désormais sur des architectures distribuées, des malwares modulaires et des modèles économiques comme le Botnet-as-a-Service (BaaS) afin de rendre leurs infrastructures plus rentables et plus difficiles à démanteler.

Si les grandes opérations internationales ont permis de neutraliser plusieurs botnets emblématiques comme Rustock, ZeroAccess, Emotet ou QakBot, de nouveaux réseaux apparaissent régulièrement en ciblant les objets connectés, les équipements Android ou d’autres appareils insuffisamment sécurisés.

Comprendre l’histoire des botnets permet également de mieux comprendre les menaces actuelles. Les techniques employées aujourd’hui — phishing, chevaux de Troie, loaders, ransomware ou compromission d’objets connectés — sont souvent directement héritées de cette évolution.

La meilleure protection reste d’adopter de bonnes pratiques de sécurité : maintenir Windows et ses logiciels à jour, utiliser un antivirus, se méfier des pièces jointes et des liens suspects, sécuriser les appareils connectés et remplacer les mots de passe par défaut des équipements réseau et IoT.

📖 Ressources utiles et articles liés

L’article Histoire des botnets : 20 ans d’évolution de la cybercriminalité est apparu en premier sur malekal.com.

Fuites de données : comment savoir si vos données sont déjà sur le dark web [Sponso]

Par : humanoid xp
7 juillet 2026 à 14:52

Cet article a été réalisé en collaboration avec Bitdefender

La sécurité de vos données personnelles ne dépend pas que de vous. Découvrez comment Bitdefender Ultimate Security vous protège au-delà de votre navigation web.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Fuites de données : comment savoir si vos données sont déjà sur le dark web [Sponso]

Par : humanoid xp
7 juillet 2026 à 14:52

Cet article a été réalisé en collaboration avec Bitdefender

La sécurité de vos données personnelles ne dépend pas que de vous. Découvrez comment Bitdefender Ultimate Security vous protège au-delà de votre navigation web.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Un faux « admin système » sur Microsoft Teams déploie le malware EtherRAT

7 juillet 2026 à 08:02

Selon Unit 42, de faux appels du support IT sur Microsoft Teams piègent les salariés pour installer le malware EtherRAT sur leur poste Windows.

Le post Un faux « admin système » sur Microsoft Teams déploie le malware EtherRAT a été publié sur IT-Connect.

PamStealer : ce malware macOS valide votre mot de passe avant de le voler

3 juillet 2026 à 09:42

PamStealer, un infostealer macOS déguisé en Maccy, présente la particularité de valider le mot de passe via PAM avant de voler cookies et identifiants.

Le post PamStealer : ce malware macOS valide votre mot de passe avant de le voler a été publié sur IT-Connect.

Un ransomware dans le navigateur ? Suffit de demander à DeepSeek

Par : Korben ✨
2 juillet 2026 à 06:51

Dans la série "Qu'est-ce qu'on se marre avec les LLMs", des chercheurs en cybersécurité de Check Point ont tenté une expérience plutôt fun (enfin, je trouve ^^) : Demander à DeepSeek de leur coder un ransomware capable de tourner directement dans le navigateur.

Et bah croyez le ou non mais le machin l'a fait sans broncher ^^ Quand je repense à tout ce foin qu'on vient de vivre avec les américains avec Mythos et Fable 5 d'Anthropic, j'avoue je rigole quand je vois ça.

Alexey Bukhteyev et Pedro Drimel Neto, de l'équipe malware de Check Point, ont récupéré cet échantillon bricolé par l'IA, l'ont un peu peaufiné quand même, et se sont retrouvés avec une arme à 100% fonctionnelle capable de chiffrer tous vos documents depuis Chrome sans rien avoir à installer.

Le code malveillant s'appuie sur la File System Access API, une fonction qui permet à une page web de demander l'accès à un dossier de votre disque. La cible clique sur "autoriser" en pensant retoucher une image sur un site de "AI photo enhancer" bidon, et derrière la page parcourt le dossier ouvert, chiffre son contenu, et laisse une jolie demande de rançon et aucun moyen de récupérer les fichiers originaux.

Et surtout, DeepSeek a été au-delà de leurs attentes en proposant plein de fonctionnalités "cools" en plus à ce ransomware comme du vol de tokens Discord, de numéros de carte, de seed phrases crypto et de l'accès webcam. Mais en y regardant de plus près, les chercheurs ont remarqué que tout ceci avait été halluciné et ne fonctionnait pas vraiment. Le seul truc fonctionnel c'est le chiffrement du dossier qu'ils ont eux-même demandé et autorisé.

L'idée de faire un ransomware dans le navigateur n'est pas nouvelle et d'autres chercheurs l'avaient déjà théorisée à la conférence USENIX Security en 2023 sous le nom de RoB, ("Ransomware over Browsers") mais ce qui change vraiment ici, c'est que sans grandes compétences, n'importe qui peut le faire.

Et c'est là que DeepSeek se distingue de la concurrence. Le modèle refuse bien sûr la demande si vous écrivez le mot "ransomware". Mais les chercheurs sont des petits malins et ont simplement retiré les termes qui fâchent, remplaçant "ransomware" par une formulation plus neutre du style "outil de chiffrement de fichiers". Et voilà, DeepSeek v4 a recraché exactement la même fonctionnalité.

Ce garde-fou s'est vraiment comporté comme un simple filtre anti gros mots, c'est un peu ridicule, surtout que ce n'est pas la première fois que le modèle chinois se fait remarquer côté code douteux , ni la première fois que les IA open source montrent leur face sombre .

Pour vous protéger contre ce genre de ransomware, il faudra donc être très vigilant à l'avenir et vous demander pourquoi tel ou tel site vous demande un accès COMPLET à un dossier plutôt que simplement au fichier dont il a besoin. Et sur Android, ça va être encore plus sensible depuis que Chrome peut donner accès au dossier photos. Bref, dans le doute, refusez...

Source

Adblock for YouTube - 10 millions d'installs et un piège dormant

Par : Korben ✨
26 juin 2026 à 00:20

Mise à jour du 26 juin 2026 : Mathias Rochus, le fondateur d'AdBlock Ltd qui édite l'extension, m'a contacté pour réagir. Il souligne que cette capacité n'a jamais servi (le rapport Island le confirme) et que le scriptlet en cause, trusted-create-element, n'est pas maison : il vient de la bibliothèque open-source de scriptlets d'AdGuard que beaucoup de bloqueurs embarquent. Surtout, il annonce corriger les deux problèmes dès aujourd'hui : suppression pure et simple du scriptlet inutilisé pour qu'aucune config serveur ne puisse l'appeler, et vérification du vrai domaine youtube.com au lieu d'une chaîne posée n'importe où dans l'URL. La nouvelle version doit encore passer la revue de Google.

Une précision quand même, parce que c'est le cœur du sujet : selon le rapport Island, quand le serveur renvoie certains paramètres, l'élément créé est une balise <script> dont le contenu est fourni directement par le serveur. Autrement dit, le verrou qu'on retire servait bien à faire tourner du code venu d'ailleurs. Le correctif, lui, est une bonne nouvelle pour les 10 millions d'utilisateurs. Je reviendrai vérifier une fois la mise à jour en ligne.


Si vous avez installé une extension qui s'appelle "Adblock for YouTube" pour virer les pubs de vos vidéos, prenez deux minutes pour lire mon article.

Les chercheurs Oleg Zaytsev et Shachar Gritzman, de la boîte de sécurité Island, viennent de passer au peigne fin une de ces extensions installée par plus de 10 millions de personnes, et ce qu'ils ont trouvé dedans n'est pas très joli joli. Le truc affiche fièrement un badge "Featured" sur le Chrome Web Store, fait bien le boulot promis (il bloque les pubs), mais il embarque aussi de quoi exécuter n'importe quel bout de JavaScript sur n'importe quel site que vous visitez.

Et ça, ça craint !

Mais avant que vous fermiez l'onglet en panique, sachez tout d'abord qu'il existe plusieurs extensions qui portent ce nom. Celle qui pose problème a un identifiant précis, cmedhionkhpnakcndndgjdbohmhepckk. Donc pour vérifier, tapez chrome://extensions dans votre barre d'adresse, activez le "Mode développeur" en haut à droite, et regardez l'ID affiché sous chaque extension. Si vous tombez sur celui-là, virez-la sans réfléchir. Si c'est un autre identifiant, ce n'est pas l'extension visée par cette analyse, ce qui ne veut pas dire pour autant que tous les bloqueurs du store sont blancs comme neige, hein...

Ce qui inquiète Island, ce n'est pas une ligne de code qui vole vos données là, maintenant mais plutôt une capacité en sommeil. L'extension contient ce que les chercheurs appellent les ingrédients architecturaux pour faire tourner du code arbitraire, et la mèche peut être allumée par un simple changement côté serveur sans que cela se voit.

En clair, du jour au lendemain, le bidule pourrait se mettre à lire vos pages, aspirer vos données et à agir à votre place dans vos comptes perso, vos applis de boulot ou vos panneaux d'admin. Au moment de l'analyse, le mécanisme dormait. Il n'était pas absent.

Et le détail qui fait sourire jaune, c'est quand même ce garde-fou censé limiter l'extension à YouTube. En théorie elle ne s'active que sur le site de Google mais en pratique, elle tourne sur absolument tous les sites, avec une vérification qui regarde juste si la chaîne "youtube.com" apparaît quelque part dans l'URL.

Oui n'importe où, du coup une adresse comme bank.example.com/search?q=youtube.com passe le test sans problème donc autant vous dire que le verrou ne verrouille pas grand chose...

Cette extension traîne sur le store depuis 2014. Au départ c'était donc un bête bloqueur de pub YouTube, jusqu'à un changement de propriétaire en 2018. Les premières versions embarquaient carrément un SDK d'injection de pub baptisé Unistream, finalement retiré en juin 2024, et les chemins d'injection de script pilotables à distance sont présents depuis février 2025. 3 autres extensions de blocage de pub liées au même écosystème ont déjà été dégagées du Chrome Web Store pour cause de malware.

Toutefois, pour le moment, il n'y a aucune preuve qu'un payload malveillant ait réellement été poussé aux utilisateurs, mais c'est la combinaison de plusieurs de ces facteurs qui pue : une extension à 10 millions d'installs, un accès à tous les sites, un canal d'injection téléguidé, un passé d'injection de pub et des cousines déjà bannies. Gloups !

Donc je vous conseille vivement de faire le tour de vos extensions. CRXplorer vous aidera à débusquer celles qui sont louches, et si vous cherchez à bloquer les pubs proprement, j'avais fait le point sur les bonnes méthodes pour ça . Petit rappel au passage, sur Chrome le uBlock Origin complet a été débranché par le passage à Manifest V3, et il ne reste que sa version Lite, forcément moins fortiche.

Donc si vous voulez le vrai, c'est sur Firefox que ça se passe maintenant.

Bref, méfiez-vous des bloqueurs de pub qui réclament la lune et au moindre doute sur l'ID, désinstallez cette merde !

Source

Menace AryStinger : un botnet inconnu a transformé des milliers de vieux routeurs en outils de surveillance

22 juin 2026 à 19:30

Un nouveau malware détecté par les chercheurs de XLab exploite des failles vieilles de plus de dix ans pour constituer discrètement une infrastructure d'attaque mondiale. Ses victimes ne savent généralement pas qu'elles en font partie.

Attention sur Steam : des wallpapers animés installent infostealers et ransomwares

19 juin 2026 à 13:41

Des wallpapers malveillants sur Steam détournent Wallpaper Engine pour voler vos comptes et infecter Windows. Découvrez la campagne révélée par Kaspersky.

Le post Attention sur Steam : des wallpapers animés installent infostealers et ransomwares a été publié sur IT-Connect.

Une attaque particulièrement insidieuse cible les joueurs sur Steam

18 juin 2026 à 12:17

Des fonds d’écran animés diffusés sur le Steam Workshop ont servi à installer des malwares via Wallpaper Engine, rapporte Kaspersky le 16 juin 2026. Certains packs piégés, téléchargés des milliers de fois, visaient notamment à voler des comptes Steam et à garder un accès aux ordinateurs infectés.

Rokarolla : un nouveau malware Android capable de prendre le contrôle total des smartphones et de cibler plus de 200 applications bancaires et crypto

Par : UnderNews
18 juin 2026 à 09:45

Les chercheurs de zLabs, l’équipe de recherche de Zimperium, ont identifié Rokarolla, un nouveau cheval de Troie bancaire Android particulièrement sophistiqué, conçu pour compromettre les comptes bancaires et portefeuilles de cryptomonnaies de ses victimes. Tribune – Distribué via des sites web malveillants se faisant passer pour des applications populaires telles que TikTok ou Google Chrome, […]

The post Rokarolla : un nouveau malware Android capable de prendre le contrôle total des smartphones et de cibler plus de 200 applications bancaires et crypto first appeared on UnderNews.

Des versions Windows du malware SprySOCKS visent des gouvernements

16 juin 2026 à 13:21

ESET a découvert des variantes Windows du malware SprySOCKS, liées au groupe chinois Earth Lusca, utilisées pour espionner des gouvernements dans quatre pays.

Le post Des versions Windows du malware SprySOCKS visent des gouvernements a été publié sur IT-Connect.

RAMwavDroid - Et si on écoutait les malwares Android ?

Par : Korben ✨
15 juin 2026 à 12:15

Si vous faites un peu de reverse engineering sous Android, vous savez que les malwares modernes font absolument tout ce qu'ils peuvent pour planquer leurs mauvaises intentions, un peu comme vos parents toxiques... Code obfusqué, chargement dynamique, packing...etc, etc.

Mais c'était sans compter sur une équipe de chercheurs italiens menée par Giorgio Giacinto ont carrément changé de stratégie avec RAMwavDroid qui au lieu de désassembler le code , permet de le transformer en son et ensuite, laissent une IA l'écouter. Et cela permet d'obtenir un niveau de 98% de détection des malwares.

J'vous explique la sorcellerie de ce truc...

En effet, d'habitude, pour analyser une appli Android, on décompile l'APK et on récupère le code, notamment des fichiers smali, un équivalent lisible par un humain du code bas niveau Dalvik.

Mais avec leur RAMwavDroid, vous prenez le fichier, et chaque octet, qui vaut une valeur entre 0 et 255, devient directement une amplitude sonore. Pas de normalisation, ni de désassemblage mais simplement une forme d'onde, stockée dans un vrai fichier WAV ou MP3 + des réseaux de neurones qui apprennent à reconnaître la texture sonore d'un malware.

Le transformer utilisé, c'est Wav2Vec2, qui était même à la base entraîné sur de la voix humaine.

Comment RAMwavDroid transforme les octets d'une appli en forme d'onde

Mais alors pourquoi passer par le son ?

Hé bien parce que les antivirus classiques s'appuient sur le "sens" du programme, ses permissions, ses appels API, la structure de son code...etc. Or c'est exactement ça que les vrais malwares un peu filous brouillent pour passer entre les mailles. Alors que la texture brute des octets, elle, reste la même, peu importe l'habillage que son concepteur a donné à son malware.

Et ça, une oreille artificielle finit par le repérer.

Mais le vrai coup de génie c'est que plutôt que d'analyser le fichier au repos, RAMwavDroid lance l'appli dans un émulateur et prend un instantané de sa mémoire vive juste après le démarrage. Ça permet de parcourir les fichiers chargés en mémoire, les processus, et surtout le code que le packing a déjà déchiffré pour pouvoir s'exécuter. Cette analyse forensique de la mémoire fait alors grimper la précision de près de 94% en statique à jusqu'à 98% en dynamique.

Le spectrogramme d'une appli malveillante, vu comme un son

Sur un extrait de dataset de malwares utilisé pour leurs tests, composé de 600 applis (moitié saines moitié vérolées), RAMwavDroid tape jusqu'à 98% de bonnes réponses, avec dans sa meilleure configuration quasiment aucun faux positif.

Un faux positif, c'est quand il n'y a pas de malware, mais que l'antivirus clignote quand même en rouge, donc ça montre bien l'efficacité de leur technologie. On est au même niveau que VirusTotal qui fait bosser des dizaines de moteurs de détection en parallèle.

Bien sûr, c'est un résultat de laboratoire sur un échantillon limité d'apps, et le code source n'est pas encore disponible publiquement, donc on ne peut que les croire sur parole. Surtout que leur système fonctionne uniquement dans un émulateur (pour accéder à la RAM) et ça c'est un truc typique que les malwares sont capables de détecter... Donc bon, à voir...

En plus ce système se fait avoir par les applis bourrées de gros SDK légitimes qui noient également le signal, et par les malwares minimalistes trop simples pour faire du bruit. Bref, la robustesse face à l'obfuscation avancée, ce sera pour plus tard mais j'ai trouvé cette façon de faire plutôt originale.

Peut-être qu'à terme, les créateurs de malware mixeront leur binaire avec un MP3 de Jul ou Gims pour tromper ces futurs détecteurs audio ^^.

Source

AUR Arch Linux - 400 paquets vérolés, êtes-vous touché ?

Par : Korben ✨
12 juin 2026 à 17:54

MÀJ du 12 juin : quand j'ai publié cet article, on en était à 400 paquets vérolés. Sauf que le chiffre n'a pas arrêté de grimper dans la journée. Quelques heures plus tard on parlait de 900, puis en fin de journée la liste recensait déjà 1579 paquets touchés, et les devs d'Arch précisent eux-mêmes que cette liste contient "beaucoup, mais pas tous" les paquets concernés. Bref, le décompte bouge en permanence, et il a même été suivi d'une seconde vague d'attaque encore plus sophistiquée. Donc si vous voyez circuler 400, 1500 ou 2000, c'est juste que chacun a pris la photo à un instant différent. La bonne nouvelle, c'est que les développeurs d'Arch ont depuis supprimé tous les commits malveillants qu'ils ont identifiés et estiment l'incident sous contrôle.

Si vous tournez sous Arch Linux et que vous piochez vos paquets dans l'AUR, lâchez ce que vous faites 2 minutes et lisez mon article. Car plus de 400 paquets de l'Arch User Repository ont été vérolés ce 11 juin, et le truc qu'ils embarquent ne rigole pas du tout. En effet, des chercheurs de Sonatype ont repéré une campagne baptisée Atomic Arch où un seul attaquant a réussi à glisser un stealer (un voleur d'identifiants quoi) dans des centaines de paquets d'un coup.

Mais bonne nouvelle avant de paniquer quand même, les dépôts officiels d'Arch (core, extra, multilib) ne sont pas concernés. C'est l'AUR, et uniquement l'AUR.

Si vous avez installé ou mis à jour un paquet AUR ces derniers jours, vous devez donc vérifier si vous n'êtes pas infecté. Des noms comme alvr, gnome-randr-rust ou ipfs-desktop-bin font partie de la liste, et elle est sacrément longue. Le signe qui doit vous mettre la puce à l'oreille, c'est par exemple un paquet qui n'a rien à voir avec du JavaScript et qui se mettrait pourtant à lancer un npm install durant son installation.

Pour sortir la liste de tout ce qui vient de l'AUR sur votre machine, un petit pacman -Qm fera le job, et le forum de CachyOS propose également un script qui compare vos paquets à la liste des vérolés connus. Méfiez-vous quand même, car ce script repère juste les noms de paquets piégés, et ne vérifie pas l'intégrité de votre système. Un résultat propre veut dire qu'aucun paquet connu n'est installé chez vous, mais pas que vous êtes tiré d'affaire, alors on reste concentré.

Alors comment ce malware s'est retrouvé dans autant de paquets ?

Eh bien l'attaquant n'a même pas eu besoin de pirater quoi que ce soit puisque l'AUR permet à n'importe qui "d'adopter" les paquets orphelins, c'est-à-dire ceux que leur mainteneur d'origine a laissés tomber. Il a donc récupéré la propriété de centaines de ces paquets abandonnés via la procédure normale, puis modifié leur PKGBUILD pour qu'à l'installation, un hook télécharge en douce un paquet npm piégé du genre atomic-lockfile. Ce paquet déploie ensuite un binaire baptisé deps, et ce deps, c'est une vraie saloperie.

Parce que ce deps, comme je vous le disais, c'est un voleur d'identifiants mais vraiment taillé pour cibler les développeurs. Dans le dos de la victime, il récupère vos clés SSH privées, vos tokens GitHub, vos identifiants npm, Docker et Podman, vos tokens HashiCorp Vault, les cookies et mots de passe de vos navigateurs, vos sessions Slack, Discord ou Telegram, vos configs VPN et même tout votre historique de commandes shell. En clair, toutes les clés de votre vie de dev qui, une fois dans la nature, ouvrent grand la porte vers d'autres systèmes.

Et si vous avez lancé le paquet en root, il installe en prime un rootkit eBPF qui se planque carrément dans le noyau pour masquer ses processus. Le fonctionnement même de ce truc fait alors qu'il est quasi impossible de détecter à l'œil nu si on est infecté ou pas. On est sur la même logique que le ver Shai-Hulud planqué dans des paquets , sauf qu'ici l'échelle a pris une autre dimension.

Alors que faire pour se protéger ?

Eh bien si vous avez le moindre doute, partez du principe que la machine est compromise, surtout si le paquet a tourné avec les droits root. Et supprimer le paquet ne suffira pas car le rootkit, lui, reste planté.

Donc on fait comme d'hab, on régénère tous ses secrets, nouvelles clés SSH, révocation et régénération des tokens GitHub, npm, Docker et Vault, changement des mots de passe stockés dans le navigateur et compagnie... Et pour la suite, comme d'hab, faites attention à ce que vous installez et prenez l'habitude de lire les PKGBUILD avant de valider, parce qu'un script post-install qui fait autre chose qu'un simple echo, ça doit vous faire tiquer direct.

Quoi qu'il en soit, l'AUR n'a jamais été audité, c'est même l'un des principes du truc et tout le monde le sait... mais des centaines voire plus d'un millier de paquets piégés d'un coup avec un rootkit qui vise vos accès, ça change fortement l'échelle du problème.

Bref, vérifiez vos paquets et faites tourner vos secrets aussi bien que vous faites tourner les serviettes quand c'est le jour du beaujolais au taf !

Et un grand merci à Maximilien pour le lien !

Source

Alerte autour de Miasma : le ver informatique qui se glisse dans Claude Code pour voler les secrets des développeurs

8 juin 2026 à 22:41

Un groupe de cybercriminels a mené une série d'attaques coordonnées contre la chaîne d'approvisionnement logicielle, compromettant des dizaines de paquets et de dépôts de développement. Au coeur de leur campagne ? Un malware nommé Miasma qui injecte sa charge utile dans les outils que les développeurs utilisent chaque jour.

Comment des hackers ont détourné Stripe pour masquer un vol de données bancaires

5 juin 2026 à 17:37

Dans un billet de blog publié le 4 juin 2026, les chercheurs en sécurité de Sansec racontent comment des pirates informatiques sont parvenus à détourner Stripe pour en faire leur propre infrastructure de vol de données bancaires.

Weedhack : ce malware cible les joueurs de Minecraft et fait déjà plus de 116 000 victimes

3 juin 2026 à 22:09

Découvrez comment la campagne Weedhack vise les joueurs de Minecraft via YouTube et le SEO poisoning, infectant plus de 116 000 machines en 6 mois.

Le post Weedhack : ce malware cible les joueurs de Minecraft et fait déjà plus de 116 000 victimes a été publié sur IT-Connect.

Supply Chain : le botnet Glassworm ciblant GitHub et VS Code a été démantelé !

28 mai 2026 à 09:52

L'infrastructure du botnet Glassworm a été démantelée grâce à une action menée conjointement par CrowdStrike, Google et The Shadowserver Foundation.

Le post Supply Chain : le botnet Glassworm ciblant GitHub et VS Code a été démantelé ! a été publié sur IT-Connect.

❌
❌