Google a annoncé cette semaine avoir fortement déstabilisé IPIDEA, une infrastructure utilisée par des cybercriminels et des acteurs étatiques pour masquer leurs activités en ligne. Une opération d’ampleur, à la fois juridique et technique, contre un acteur central du « marché gris » de l’internet.
Des millions d’appareils transformés en relais invisibles
Pour comprendre l’enjeu, il faut d’abord saisir ce qu’est un réseau de proxies résidentiels. Contrairement aux proxies classiques, hébergés dans des centres de données, ces réseaux s’appuient sur des adresses IP de particuliers ou de petites entreprises. Le trafic malveillant transite alors par des connexions « normales », celles d’un foyer ou d’un bureau, ce qui complique fortement la détection et le blocage.
IPIDEA s’est spécialisé dans ce modèle. Selon Google, son infrastructure reposait sur des millions d’appareils répartis dans le monde, avec une forte valeur accordée aux adresses IP situées aux États-Unis, au Canada et en Europe. Pour constituer ce vivier, les opérateurs du réseau diffusaient des kits logiciels — des SDK — intégrés à des applications Android, Windows ou à des VPN gratuits. Une fois installée, l’application continuait à remplir sa fonction annoncée, mais transformait aussi l’appareil en point de sortie du réseau.
Google affirme avoir identifié plus de 600 applications Android et 3.075 fichiers Windows distincts liés à cette infrastructure. Certaines se présentaient comme de simples utilitaires, d’autres comme des services VPN ou même comme des composants système. Dans de nombreux cas, l’enrôlement de l’appareil dans le réseau n’était pas clairement mentionné.
L’action menée par le Google Threat Intelligence Group a visé le cœur du système : les domaines servant à piloter ces appareils et à distribuer les tâches de proxy. Résultat revendiqué par Google : une réduction de « plusieurs millions » du nombre d’appareils exploitables par les opérateurs du réseau, et l’arrêt d’au moins treize marques commerciales liées à IPIDEA.
Pourquoi un tel déploiement de moyens ? Parce que ces proxies ne servent pas à contourner des géoblocages pour regarder des séries télé. Les recherches de Google montrent qu’IPIDEA était massivement utilisé à des fins malveillantes : pilotage de botnets, attaques par force brute, accès frauduleux à des services en ligne ou dissimulation d’opérations d’espionnage.
Sur une période de sept jours seulement au mois de janvier, Google a observé plus de 550 groupes de menaces distincts utilisant des adresses IP issues de ce réseau pour masquer leurs activités. Des groupes attribués à la Chine, à la Corée du Nord, à l’Iran ou à la Russie figurent parmi ceux cités par l’entreprise. Cette concentration illustre à quel point les proxies résidentiels sont devenus une brique essentielle des opérations numériques occultes.
Google revendique un coup sévère porté à l’un des acteurs majeurs du secteur, mais rappelle que seule une coopération durable entre plateformes, fournisseurs d’accès et chercheurs en sécurité permettra d’en limiter les abus.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
