Crédit STEPHANE DE SAKUTIN / AFP
Paris, France | AFP | jeudi 12/03/2026 - Un million de modems infectés, des ramifications des deux côtés de l'Atlantique: une opération transnationale a permis de mettre à bas un service qui permettait aux cybercriminels d'attaquer dans l'ombre, en profitant à leur insu des box internet et objets connectés de particuliers.
Jeudi, la procureure de Paris, Laure Beccuau, a annoncé que la justice française avait participé, aux côtés de ses homologues américaine et néerlandaise, et avec le soutien d'Europol et d'Eurojust, à une opération "contre le service de proxy cybercriminel" Socks Escort.
Un nom méconnu du grand public, mais derrière lequel se cachait un service prisé des cybercriminels en tout genre, pour mener leurs activités en toute impunité.
"C'est un gros coup d'arrêt qui est porté à la cybercriminalité, en s'attaquant à l'infrastructure du crime", a salué auprès de l'AFP la commissaire de police Julie Benoit, à la manoeuvre à l'Ofac, l'office français anti-cybercriminalité.
Signe particulier de l'affaire, le système Socks Escort reposait sur des centaines de milliers de box internet, routeurs et autres objets connectés, appartenant à des particuliers, et infectés à leur insu par un virus informatique, "en exploitant une famille de sécurité", explique-t-elle.
Ces appareils zombies étaient ensuite loués à des cybercriminels, pour qu'ils puissent dissimuler leur véritable adresse IP, celle qui permet d'identifier chaque internaute, et commettre divers délits, attaques informatiques ou même échanges de fichiers pédopornographiques.
La société Socks Escort promettait que ses adresses IP "avaient une bande passante illimitée, qu'elles étaient constamment mises à jour et qu'elles n'étaient placées sur aucune liste noire", a résumé la procureure de Paris.
Faire tomber une telle structure, 24 serveurs dont une dizaine en France, a nécessité un premier renseignement de la justice américaine, à l'été 2024, puis un patient travail de cartographie, pour repérer les serveurs.
"Une tâche de longue haleine" qui fait tomber "l'un des plus importants réseaux de proxies criminels dans le monde", se réjouit Julie Benoit.
- "Un million de modems infectés" -
Une information judiciaire, confiée à un juge d'instruction, a ensuite été ouverte à Paris à la mi-février dernier. Les autorités allemandes, autrichiennes, bulgares, hongroises ou encore roumaines ont été associées à l'opération de démantèlement.
Au total, "un million de modems infectés ont (...) été déconnectés du réseau criminel. Quarante mille euros ont été saisis en France et trois millions d'euros ont été gelés par les Etats-Unis, en cryptomonnaie", a précisé la procureure de Paris.
"Il s'agit d'une belle opération avec des résultats concrets, même s'il y a une part d'affichage pour montrer qu'il n'y a pas d'impunité", jauge auprès de l'AFP l'expert Baptiste Robert, président de Predicta Lab, une société spécialisée dans le domaine.
"Le but des autorités, notamment américaines, c'est que les attaques informatiques coûtent plus cher à être exécutées, d'où l'intérêt de ce type d'opérations" qui s'en prennent aux infrastructures, a-t-il poursuivi.
"Les criminels ont un outil en moins", même si des services similaires peuvent continuer d'exister. "Cela pose une question plus large", ajoute-t-il: "celle de l'insécurité des routeurs et des objets connectés" du grand public, vulnérables aux attaques informatiques.
Jeudi, la procureure de Paris, Laure Beccuau, a annoncé que la justice française avait participé, aux côtés de ses homologues américaine et néerlandaise, et avec le soutien d'Europol et d'Eurojust, à une opération "contre le service de proxy cybercriminel" Socks Escort.
Un nom méconnu du grand public, mais derrière lequel se cachait un service prisé des cybercriminels en tout genre, pour mener leurs activités en toute impunité.
"C'est un gros coup d'arrêt qui est porté à la cybercriminalité, en s'attaquant à l'infrastructure du crime", a salué auprès de l'AFP la commissaire de police Julie Benoit, à la manoeuvre à l'Ofac, l'office français anti-cybercriminalité.
Signe particulier de l'affaire, le système Socks Escort reposait sur des centaines de milliers de box internet, routeurs et autres objets connectés, appartenant à des particuliers, et infectés à leur insu par un virus informatique, "en exploitant une famille de sécurité", explique-t-elle.
Ces appareils zombies étaient ensuite loués à des cybercriminels, pour qu'ils puissent dissimuler leur véritable adresse IP, celle qui permet d'identifier chaque internaute, et commettre divers délits, attaques informatiques ou même échanges de fichiers pédopornographiques.
La société Socks Escort promettait que ses adresses IP "avaient une bande passante illimitée, qu'elles étaient constamment mises à jour et qu'elles n'étaient placées sur aucune liste noire", a résumé la procureure de Paris.
Faire tomber une telle structure, 24 serveurs dont une dizaine en France, a nécessité un premier renseignement de la justice américaine, à l'été 2024, puis un patient travail de cartographie, pour repérer les serveurs.
"Une tâche de longue haleine" qui fait tomber "l'un des plus importants réseaux de proxies criminels dans le monde", se réjouit Julie Benoit.
- "Un million de modems infectés" -
Une information judiciaire, confiée à un juge d'instruction, a ensuite été ouverte à Paris à la mi-février dernier. Les autorités allemandes, autrichiennes, bulgares, hongroises ou encore roumaines ont été associées à l'opération de démantèlement.
Au total, "un million de modems infectés ont (...) été déconnectés du réseau criminel. Quarante mille euros ont été saisis en France et trois millions d'euros ont été gelés par les Etats-Unis, en cryptomonnaie", a précisé la procureure de Paris.
"Il s'agit d'une belle opération avec des résultats concrets, même s'il y a une part d'affichage pour montrer qu'il n'y a pas d'impunité", jauge auprès de l'AFP l'expert Baptiste Robert, président de Predicta Lab, une société spécialisée dans le domaine.
"Le but des autorités, notamment américaines, c'est que les attaques informatiques coûtent plus cher à être exécutées, d'où l'intérêt de ce type d'opérations" qui s'en prennent aux infrastructures, a-t-il poursuivi.
"Les criminels ont un outil en moins", même si des services similaires peuvent continuer d'exister. "Cela pose une question plus large", ajoute-t-il: "celle de l'insécurité des routeurs et des objets connectés" du grand public, vulnérables aux attaques informatiques.