Les autorités américaines et canadiennes ont arrêté et inculpé un Canadien accusé d’avoir exploité le botnet KimWolf, un vaste réseau de cybercriminalité lié à certaines des plus grandes attaques de déni de service distribué (DDoS) jamais rendues publiques.
Selon des documents judiciaires dévoilés dans le district d’Alaska, Jacob Butler, 23 ans, originaire d’Ottawa, Canada, aurait exploité le botnet KimWolf sous l’alias en ligne « Dort ». Les autorités canadiennes ont arrêté Butler mercredi à la suite d’un mandat d’extradition américain, et il fait désormais face à des accusations liées à l’aide et à la complicité dans des intrusions informatiques. S’il est reconnu coupable, il pourrait risquer jusqu’à 10 ans de prison.
Les enquêteurs affirment que KimWolf fonctionnait comme une plateforme DDoS à la demande qui a infecté des millions d’appareils connectés à Internet dans le monde, y compris des cadres photo numériques, des webcams, des boîtiers de streaming Android et d’autres matériels Internet des objets (IoT). Les appareils compromis auraient été loués à des cybercriminels qui ont utilisé l’infrastructure pour lancer des attaques à grande échelle contre des services et réseaux en ligne.
Le ministère américain de la Justice a indiqué que KimWolf était lié à des attaques atteignant près de 30 térabits par seconde, ce que les responsables ont décrit comme un volume record d’attaques DDoS à l’époque. Les autorités ont également lié le botnet à des attaques visant les plages IP du Département de la Défense et des milliers d’autres systèmes à travers le monde.
Les responsables estiment que le botnet a exécuté plus de 25 000 commandes d’attaque et causé des dommages financiers dépassant des millions de dollars à certaines victimes. Des chercheurs suivant ce malware avaient précédemment rapporté que KimWolf s’était rapidement étendu après avoir exploité les faiblesses des réseaux proxy résidentiels et des appareils Android vulnérables.
Cette arrestation fait suite à une opération internationale plus large menée en mars 2026, au cours de laquelle les autorités ont saisi les infrastructures de commandement et de contrôle associées à KimWolf et à trois botnets apparentés identifiés comme Aisuru, JackSkid et Mossad. Les enquêteurs ont indiqué que les quatre botnets infectaient collectivement plus de trois millions d’appareils IoT dans le monde.
Par leur côté, les autorités californiennes ont également saisi des infrastructures liées à 45 services DDoS à la demande soupçonnés de soutenir des opérations cybercriminelles. Le ministère de la Justice a indiqué que plusieurs domaines associés aux services avaient été redirigés vers des pages d’avertissement contrôlées par les forces de l’ordre informant les visiteurs que l’activité de DDoS à la demande est illégale.
Les forces de l’ordre auraient lié Butler à KimWolf en utilisant des enregistrements d’adresses IP, des historiques de transactions, des données de comptes en ligne et des preuves de la plateforme de messagerie obtenues par procédure judiciaire. Les enquêteurs ont également lié le suspect à des campagnes de harcèlement en ligne ciblant des chercheurs en cybersécurité qui suivaient la croissance du botnet.
Les chercheurs en cybersécurité avertissent que les botnets IoT restent une menace majeure car des appareils mal sécurisés connectés à Internet sont fréquemment exposés en ligne avec des mots de passe faibles, un firmware obsolète ou des vulnérabilités non corrigées. Une fois infectés, les appareils peuvent être contrôlés à distance et utilisés comme armes dans des campagnes DDoS à grande échelle capables de perturber les infrastructures en ligne critiques.