Un mystérieux nouveau botnet a profité de la panne mondiale d’Internet, provoquée par Amazon, pour infecter en douce des objets connectés à travers le monde. Les cybercriminels se sont servis de la panne comme terrain d’essai.
Le mois dernier, Amazon Web Services (AWS) a été victime d’une panne massive. Une grande partie d’Internet s’est retrouvée inaccessible pendant plusieurs heures. L’incident est parti d’un problème dans le système DNS interne d’AWS, chargé de traduire les noms de domaine en adresses IP. Les équipes d’Amazon ont dû intervenir manuellement pour corriger le tir. L’opération a duré quelques heures, durant lesquels de nombreux sites et services étaient paralysés.
À lire aussi : Microsoft déjoue une attaque DDoS surpuissante contre ses serveurs Azure
Vague d’attaque sur des appareils connectés grâce à 8 failles
Quelques semaines après les faits, les chercheurs de FortiGuard Labs de Fortinet ont découvert qu’un botnet avait profité du chaos ambiant, découlant de la panne mondiale, pour lancer des cyberattaques. Un botnet baptisé ShadowV2 a en effet été identifié durant la journée du 20 octobre 2025.
Basé sur le code de Mirai, un redoutable malware apparu il y a plus de dix ans, ShadowV2 s’est attaqué à des équipements connectés exposés sur Internet, notamment des routeurs, des NAS et des enregistreurs vidéo (DVR). Ces appareils appartiennent à des organisations gouvernementales, des entreprises de la tech, de l’industrie, des opérateurs télécoms ou des écoles. Une fois compromis, ces appareils deviennent des bots capables de lancer des attaques DDoS (Distributed Denial of Service) à la demande de cybercriminels.
Pour arriver à ses fins, le botnet exploite au moins huit failles de sécurité identifiées dans des objets connectés. Parmi les cibles, on trouve des appareils D‑Link, des équipements DigiEver ou encore des produits TP‑Link. Le botnet vise surtout des appareils qui ne sont pas mis à jour régulièrement, ou qui sont même dépourvus de correctifs de sécurité. Ces incidents « ont touché plusieurs pays et sept secteurs d’activité différents ». Des attaques ont été recensées en Europe, notamment en Belgique, en France, aux Pays-Bas et en Italie.
À lire aussi : Un des plus puissants botnets « ayant jamais existé » a été démantelé
Panne mondiale et opportunité de rêve pour les hackers
Le botnet n’était actif que pendant la durée de la panne. Tout porte à croire que les pirates à l’origine de ShadowV2 ont voulu profiter du désordre provoqué par Amazon Web Services pour mener un test de propagation à grande échelle sans risquer de se faire repérer. En d’autres termes, les pirates ont sauté sur l’occasion pour faire un “crash test” en conditions réelles de leur nouveau logiciel malveillant.
Une panne mondiale représente en effet une opportunité pour les cybercriminels soucieux de tester les performances d’un botnet. Pendant une panne majeure d’un cloud comme AWS, beaucoup de services fonctionnent mal, voire pas du tout. Les équipes techniques et de sécurité sont trop occupées à essayer de tout remettre en ligne. Au beau milieu de ce chaos, des anomalies réseau supplémentaires, comme des connexions sortantes suspectes depuis des objets connectés, ont plus de chance de passer sous le radar.
En clair, les défenseurs sont débordés et ils passent à côté de l’apparition d’une nouvelle menace. En l’occurrence, il aura fallu plusieurs semaines pour que des chercheurs découvrent ShadowV2. Les experts s’attendent à ce que ce test soit suivi d’une vague de cyberattaques analogues.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.