Les autorités canadiennes ont arrêté un homme de 23 ans accusé d’avoir opéré le botnet KimWolf, un important réseau de DDoS à louer lié à des cyberattaques record et à plus d’un million d’appareils infectés dans le monde.
Selon U.S. court documents , Jacob Butler d’Ottawa, Canada, aurait géré le botnet sous l’alias en ligne « Dort ». Butler a été arrêté sous mandat d’extradition et fait désormais face à des accusations aux États-Unis liées à l’aide et à la complicité d’intrusions informatiques. S’il est reconnu coupable, il pourrait risquer jusqu’à 10 ans de prison.
Les enquêteurs affirment que KimWolf fonctionnait comme une plateforme de cybercriminalité en tant que service, permettant à d’autres criminels de louer l’accès à un vaste réseau d’appareils connectés à Internet compromis. Le botnet ciblait principalement des appareils vulnérables de l’Internet des objets, notamment les webcams, les cadres photo numériques, les routeurs, les boîtiers Android TV et le matériel de streaming.
Une fois infectés, ces appareils ont été utilisés pour lancer des attaques de déni de service distribué capables de submerger les serveurs ciblés et les infrastructures en ligne avec d’énormes volumes de trafic internet. Les autorités ont lié le botnet à des attaques ciblant des organisations du monde entier, y compris des systèmes connectés au Réseau d’information du Département de la Défense des États-Unis.
Le département de la Justice des États-Unis a déclaré que les attaques associées à KimWolf atteignaient près de 30 térabits par seconde, ce qui en fait l’une des plus grandes attaques DDoS publiques jamais enregistrées à l’époque. Les responsables ont indiqué que le botnet avait émis plus de 25 000 commandes d’attaque avant que les autorités ne perturbent son infrastructure plus tôt cette année.
Cette arrestation fait suite à une opération internationale plus large menée en mars 2026 qui a ciblé l’infrastructure de commandement et de contrôle derrière plusieurs botnets IoT majeurs, dont KimWolf, AISURU, JackSkid et Mossad. Des autorités des États-Unis, du Canada et de l’Allemagne ont participé à l’opération aux côtés de sociétés privées de cybersécurité.
Les responsables ont indiqué que les quatre botnets infectaient collectivement plus de trois millions d’appareils dans le monde. Des chercheurs avaient auparavant relié les réseaux AISURU et KimWolf à une attaque DDoS hyper-volumétrique de 31,4 Tbps qui a duré environ 35 secondes et déclenché automatiquement des systèmes d’atténuation chez les principaux fournisseurs d’infrastructures internet.
Les documents judiciaires indiquent que les enquêteurs ont identifié Butler via des enregistrements d’adresses IP, des historiques de transactions, des informations de comptes en ligne et des enregistrements de messagerie numérique liés à l’opération botnet. Le journaliste indépendant en cybersécurité Brian Krebs avait déjà relié l’alias « Dort » à l’activité de KimWolf plus tôt cette année après avoir signalé des attaques de harcèlement et de DDoS ciblant des chercheurs en sécurité.
Les autorités ont également perturbé des dizaines de services supplémentaires de DDoS à la location, supposés soutenir l’écosystème plus large des botnets. Plusieurs domaines saisis ont été redirigés vers des pages d’avertissement contrôlées par les forces de l’ordre informant les visiteurs que les services DDoS à la demande sont illégaux.
Les experts en cybersécurité avertissent que les botnets IoT restent l’une des plus grandes menaces pour l’infrastructure internet car de nombreux appareils intelligents continuent de fonctionner avec un firmware obsolète, des services exposés ou des mots de passe par défaut faibles. Une fois compromis, les attaquants peuvent silencieusement ajouter ces appareils à des réseaux de botnets capables de générer d’énormes volumes de trafic malveillant.