Soutenez Mychromebook en vous abonnant à notre Patreon pour profiter d'une expérience sans publicité sur le site. Je vous soutiens

9,6 appareils par foyer français. Autant de soldats potentiels pour la prochaine cyberguerre.

Lecture : 21 minutes
Botnets IoT et ver IA : pourquoi ton foyer connecté devient une arme de cyberguerre
Botnets IoT et ver IA : pourquoi ton foyer connecté devient une arme de cyberguerre
Sommaire

Hier je t’informais qu’un vers informatique est maintenant dépassé. Le nouvel attaquant a pour nom l’Intelligence Artificielle. Capable de se propager seule sur un réseau, d’adapter ses attaques à chaque cible, et de voler la puissance GPU de ses victimes pour s’alimenter. Je me basais sur un papier académique sérieux. Des têtes, des chercheurs de Toronto et Cambridge. Une preuve de concept en environnement contrôlé. Aujourd’hui on va aller plus loin. Parce que cette histoire ne concerne pas que les admins réseau et les DSI de grandes entreprises. Elle te concerne, toi. Ton salon. Ta box. Ta caméra de porte. Et potentiellement, l’ensemble de ton pays. Cours pas. Cela ne sers à rien. Presque trop tard.

A retenir :

Mirai a infecté 600 000 appareils IoT avec des mots de passe par défaut en 2016 et a failli couper internet pour la côte est américaine. NotPetya a paralysé Maersk en 7 minutes, détruit 45 000 PC, mis le suivi radioactif de Tchernobyl hors service et causé 10 milliards de dollars de dégâts dans 150 pays.

Mirai : la répétition générale. Avec des caméras idiotes.

Pour comprendre où on va, il faut d’abord regarder d’où on vient. La référence. Le 21 octobre 2016, une bonne partie d’internet s’est effondrée sur la côte est des États-Unis. Twitter, Reddit, Netflix, Airbnb, PayPal, GitHub : inaccessibles pendant des heures. La cause : une attaque massive contre Dyn, un fournisseur DNS dont la mission est de traduire les noms de domaine en adresses IP. Sans lui, internet ne répond plus. L’arme utilisée : le botnet Mirai. Un logiciel malveillant qui infecte les appareils connectés fonctionnant sous Linux et les transforme en zombies contrôlés à distance.

Ce qui rend Mirai particulièrement instructif, c’est sa bêtise absolue. Il ne cherchait pas de failles complexes. Ne raisonnait pas. Il ne s’adaptait pas. Il faisait une seule chose : scanner les adresses IP, identifier les appareils connectés avec des identifiants administrateur par défaut, et se connecter tout simplement pour installer le malware. Des mots de passe « admin/admin ». Ou du genre « 123456 ». Des codes constructeurs jamais changés par leurs propriétaires. On ne se moque pas. Comparé à la faille exploitée sur le site ants.gouv.fr, c’est du pipi de chat.

Mirai a infecté 65 000 dispositifs IoT en moins de 20 heures après son activation, le premier août 2016. Le pic des 600 000 appareils infectés a été atteint en novembre 2016. L’attaque contre OVH, l’hébergeur français, a atteint 1 Tbit/s de trafic, soit un flux de données qu’aucune infrastructure n’avait encore absorbé à cette échelle. Ses créateurs avaient 21 ans. Ils voulaient s’attaquer aux serveurs du jeu Minecraft. Ils ont failli mettre internet à genoux. Retiens bien la leçon : des appareils idiots, avec des mots de passe idiots, commandés par un code basique, ont suffi à paralyser les principales plateformes mondiales. Sans aucune intelligence artificielle. Sans aucune adaptation. Juste du volume. Maintenant on bascule dans un autre dimension.

Ce qui a changé depuis 2016 : le bot est devenu intelligent.

Mirai, c’était un marteau-piqueur. Le ver IA du papier CleverHans, c’est un chirurgien. Voilà ce que Mirai ne savait pas faire et que le ver IA fait nativement :

CritèreMirai (2016)Ver IA adaptatif (2026)
Vecteur d’infection1 seule méthode (mots de passe défaut)Vulnérabilité différente sur chaque cible
AdaptationAucuneAnalyse individuelle de chaque machine
IntelligenceZéroLLM embarqué, raisonnement agentique
Contre-mesure uniqueChanger les mots de passe par défautAucun patch unique ne suffit
Source de calculInfrastructure propre de l’attaquantGPU volés aux victimes
Coût opérationnelFaible mais réelZéro après infection initiale
Besoin en cloud commercialNonNon (open-weight local)
Détection par éditeurs IASans objetImpossible (pas de dépendance API)

Mirai avait besoin que les appareils aient un mot de passe par défaut. Le ver IA a besoin… d’une faille. N’importe laquelle. Une CVE non patchée depuis trois mois. Un service mal configuré. Un port oublié ouvert. Un firmware de caméra datant de 2022. Il trouvera quelque chose, parce qu’il cherchera spécifiquement sur ta machine, pas sur un modèle générique.

Ton foyer, en chiffres.

En 2024, les ménages français (2,2 personnes en moyenne par foyer) possèdent en moyenne 9,6 appareils numériques avec écran. C’est la donnée Crédoc, enquête menée auprès de 4 000 personnes. Ce chiffre ne comprend pas les appareils sans écran : compteurs Linky, thermostats connectés, ampoules, prises intelligentes, enceintes, systèmes d’alarme.

Un foyer de 2026 réaliste avec une famille de 3-4 personnes, ça ressemble à ça :

  • 3 à 4 smartphones
  • 1 à 2 ordinateurs portables
  • 1 télévision connectée
  • 1 tablette
  • 1 console de jeu (PS5 ou Xbox Series X, avec GPU comparable aux cartes graphiques milieu de gamme)
  • 1 box internet (Linux embarqué)
  • 1 à 2 caméras connectées (sonnette, surveillance)
  • 1 enceinte connectée (Google Nest, Amazon Echo)
  • 1 thermostat ou système domotique
  • 1 aspirateur robot
  • Des objets divers (télé connectée dans la chambre, imprimante, NAS personnel…)

Soit facilement 15 à 20 appareils connectés sur le même réseau Wi-Fi. Dont plusieurs avec un GPU capable de faire tourner de l’inférence LLM légère. Et parmi ces 15 à 20 appareils, combien ont reçu une mise à jour firmware dans l’année écoulée ? Combien ont des mots de passe admin par défaut ? Combien sont protégés par autre chose que « ils sont dans la box, donc c’est safe » ? Sors ton carnet. Et fait le tour du propriétaire. Tu risques d’avoir des surprises.

Le pont invisible : ton VPN de télétravail.

Voilà le maillon de la chaîne qu’on sous-estime systématiquement. 36 % des Français pratiquaient le télétravail au moins un jour par semaine en 2024. Ce chiffre est stable et structural. Le télétravail ne va pas disparaître. Quand tu travailles depuis chez toi, tu ouvres un tunnel VPN vers le réseau de ton employeur. Ce tunnel est chiffré. Les données qui transitent dedans sont protégées. Mais le VPN ne protège pas ton réseau domestique. Il connecte ton PC pro à l’entreprise depuis un réseau sur lequel tournent aussi ta télévision, ta caméra, ton aspirateur robot et la tablette des enfants.

Si un ver IA compromet ta caméra de sonnette et utilise son accès réseau pour observer le trafic, il peut voir que ton PC professionnel établit régulièrement une connexion vers un serveur d’entreprise. Il peut analyser ce comportement. Déduire une cible intéressante. Il peut attendre le bon moment. Selon une étude, 90 % des professionnels en télétravail utilisent le même mot de passe pour leur activité professionnelle et leur usage personnel. Le ver n’a pas besoin de casser ton VPN. Il lui suffit d’attendre que tu réutilises le même mot de passe sur un service compromis.

Selon le rapport IBM X-Force Threat Intelligence Index 2024, plus de 36 % des violations analysées proviennent d’identifiants compromis, souvent exploités lors de connexions à distance. Ton foyer n’est pas juste une cible en soi. Il est le pont entre toi et ton employeur. Et entre ton employeur et tous ses fournisseurs et partenaires.

Foyer à foyer : quand les salons deviennent une armée.

Maintenant, connecte les points. La France compte environ 32 millions de foyers (INSEE, projection 2026). À 15 appareils connectés en moyenne par foyer, ça fait 480 millions d’endpoints potentiels sur le territoire national. Sans compter les appareils connectés des entreprises, des collectivités, des hôpitaux.

Mirai en avait infecté 600 000 avec des caméras et des mots de passe en clair, sans aucune intelligence, et avait failli couper internet pour la côte est américaine. Qu’est-ce qui se passe avec un ver IA qui dispose d’un réseau adaptatif, hétérogène, de plusieurs millions de machines réparties sur tout le territoire ? Qui vole les GPU des PC gamers pour raisonner ? Qui utilise les VPN des télétravailleurs comme ponts vers les réseaux d’entreprise ?

L’attaquant n’a pas besoin d’un datacenter. Il n’a pas besoin de louer des serveurs. Il n’a pas besoin d’une infrastructure propre. Ton réseau, celui de tes voisins, celui de ta belle-mère : c’est son infrastructure. Coût marginal : zéro. Et l’autre caractéristique de ce scénario qui le rend particulièrement intéressant pour un État agresseur : l’attribution est quasi impossible. Quand l’attaque provient de millions de boxes internet et de caméras de sonnettes réparties sur tout le territoire français, il n’y a pas de serveur de commande central à éliminer, pas d’adresse IP suspecte à bloquer, pas de signature d’État identifiable. L’attaque vient de chez toi.

20Ce que NotPetya a déjà démontré. Avec un outil bien plus basique.

Mirai — 2016

600 K

appareils IoT infectés au pic

Technique uniqueMDP par défaut
DDoS max. mesuré1,2 Tbps
Services tombésTwitter · Netflix · Reddit
Dégâts estimésQuelques M$
Contre-mesureChanger 1 MDP
Créateurs2 étudiants, 21 ans

NotPetya — 2017

10 Md$

de dégâts dans 150 pays

Maersk infecté en7 minutes
PC détruits (Maersk)45 000
Perte Maersk300 M$
Perte Merck870 M$
Perte Saint-Gobain250 M€
ChernobylSuivi radio manuel

Ver IA adaptatif — 2026

0 €

coût marginal pour l’attaquant

Appareils/foyer FR9,6 (Crédoc 2024)
Foyers français~32 millions (INSEE 2026)
Endpoints potentiels~480 millions
Vulns exploitées1 différente / cible
Contre-mesure uniqueAucune
Ressource de calculGPU de ses victimes

Dégâts documentés de NotPetya par entreprise

Merck (pharma US)
870 M$
FedEx / TNT
400 M$
Maersk (maritime)
300 M$
Saint-Gobain (FR)
250 M€
Mondelez (LU, biscuits)
188 M$

Sources : CleverHans Lab arXiv 2606.03811 · Cloudflare · Usenix · Crédoc 2024 · Wikipedia NotPetya · IBM X-Force 2024

Pour comprendre ce que cette force de frappe distribuée peut faire à grande échelle, on n’a pas besoin de spéculer. NotPetya, 2017, l’a déjà fait. Sans ver IA. Sans adaptation. Juste avec un code bien construit et une mise à jour logicielle piégée. NotPetya a mis hors d’état 300 entreprises ukrainiennes et 22 banques, quatre hôpitaux, de multiples aéroports, et pratiquement toutes les agences gouvernementales ukrainiennes. Mais le code n’a pas respecté les frontières.

Chez Maersk, le géant du transport maritime, 55 000 postes clients et 7 000 serveurs ont été infectés en sept minutes. Pertes déclarées : 300 millions de dollars. Merck a estimé ses pertes à 870 millions de dollars. La centrale nucléaire de Tchernobyl a également été touchée : les mesures de radioactivité ne sont plus suivies informatiquement, mais manuellement, par des techniciens avec des compteurs Geiger. En France : Saint-Gobain a évalué à 250 millions d’euros les dégâts liés à l’attaque NotPetya.

C’est pas demain, c’est aujourd’hui

Le total mondial est estimé à 10 milliards de dollars, à considérer comme un plancher. Et le détail qui donne vraiment froid dans le dos : les hackers russes ont probablement été surpris par leur propre succès. Ils voulaient s’attaquer à l’Ukraine, et non paralyser Maersk ou Merck. Mais une fois lâché, leur bébé était totalement incontrôlable. Une arme numérique ne s’arrête pas à la frontière. Et une arme numérique distribuée, pilotée par IA, qui apprend en se propageant et utilise les ressources de ses victimes… c’est NotPetya avec un cerveau et une capacité d’adaptation que ses créateurs eux-mêmes ne pourraient pas entièrement contrôler une fois lancée.

Un contenu de qualité, sans publicité.

Vous aimez notre travail ? Soutenez notre indépendance en devenant membre sur Patreon.

Soutenir MyChromebook.fr

Les scénarios concrets. Pas de la science-fiction.

Les chercheurs de CleverHans l’ont eux-mêmes écrit dans leur FAQ : « drinking water and waste management systems, energy, financial system, health care, transportation systems, government. » Ils ne spéculent pas. Ils décrivent ce que Mirai a effleuré et ce qu’un ver IA bien construit pourrait atteindre.

Voici ce que ça signifie concrètement en France :

Systèmes d’eau et d’assainissement. Les stations de traitement des eaux françaises sont progressivement numérisées. Un réseau de contrôle industriel (SCADA) connecté, avec un firmware vieillissant et pas de microsegmentation, est exactement le type de cible qu’un ver IA analyserait une par une pour trouver le vecteur d’entrée.

Réseau électrique. Les compteurs Linky, 37 millions déployés en France, communiquent avec un opérateur central via des réseaux dédiés. Mais les systèmes de gestion de réseau eux-mêmes tournent sur des infrastructures informatiques. NotPetya a éteint des systèmes de contrôle industriel en Ukraine sans les cibler directement. Le vecteur était un logiciel de comptabilité.

Santé. En France en 2023, 11 % des cyberattaques visaient des établissements de santé. Les hôpitaux sont des réseaux plats, hétérogènes, avec du matériel médical embarquant des systèmes d’exploitation anciens, mal patchés, et rarement mis à jour parce que le prestataire du scanner IRM n’est disponible qu’une fois par an.

PME et TPE. 60 % des PME victimes d’une attaque sérieuse mettent la clé sous la porte dans les six mois. Une PME de 12 personnes n’a pas de SOC, pas de Zero-Trust, pas d’équipe cybersécurité. Elle a un réseau plat, un NAS et des Windows. C’est le « worst-case flat network » du papier CleverHans, décrit mot pour mot.

Ce qui protège vraiment. Et ce qui ne sert plus à rien.

Ce qui ne suffit plus.

Patcher une faille connue. Le ver IA cherche la faille disponible sur ta machine spécifique, pas la faille universelle. Patcher EternalBlue n’arrêterait pas Mirai IA. Seul un patch total de toutes les vulnérabilités connues sur tous tes appareils changerait quelque chose. Ce qui est impossible en pratique. Faire confiance aux garde-fous des éditeurs de LLM. Le ver tourne sur un modèle open-weight local. Google peut décider de rendre Gemma indisponible demain. Ça ne changerait rien : des centaines de modèles open-weight capables de faire tourner ce type d’attaque sont déjà téléchargés sur des milliers de machines dans le monde.

Ce qui protège vraiment.

La microsegmentation de ton réseau domestique. La plupart des box internet modernes permettent de créer un réseau « invité » séparé. Tes IoT (TV, caméras, aspirateur, enceintes) devraient être sur ce réseau isolé, incapable d’accéder à ton PC pro ou à ton NAS. C’est une cloison invisible mais déterminante : un ver qui compromet ta caméra ne peut pas atteindre ton VPN si les deux sont sur des sous-réseaux séparés.

La mise à jour systématique de tous les firmwares. Pas seulement Windows et les navigateurs. Le firmware de ta box. Le firmware de ta caméra. Celui de ton routeur. Le ver IA intègre les CVE publiées dans les heures suivant leur divulgation. La fenêtre de risque entre publication d’une faille et son exploitation s’est drastiquement réduite. Les mots de passe uniques partout. Surtout sur les appareils IoT. Les appareils infectés peuvent être nettoyés en étant redémarrés, mais comme l’analyse des bots potentiels se produit à un rythme constant, il est possible que les appareils soient réinfectés en quelques minutes si le mot de passe n’a pas été changé.

La conclusion que personne ne veut formuler.

On a construit une civilisation sur des réseaux interconnectés. Chaque foyer est maintenant un nœud de cette infrastructure. Un appareil connecté est une porte. Chaque GPU embarqué dans ta console ou ton PC gamer est une ressource de calcul. Mirai l’a prouvé en 2016 avec des caméras et des mots de passe idiots. NotPetya l’a prouvé en 2017 avec un code conçu pour paralyser un pays et qui a paralysé la planète par accident.

Le ver IA du papier CleverHans rajoute une couche d’adaptation, de raisonnement et d’autonomie que ni Mirai ni NotPetya n’avaient. Et il n’a pas besoin de tes mots de passe par défaut. Il a juste besoin d’une faille quelque part. N’importe laquelle. La sécurité nationale ne se joue plus seulement dans les datacenters gouvernementaux et les salles de crise. Elle se joue aussi dans le firmware de ta sonnette connectée.

Ce n’est pas une métaphore. C’est la leçon directe de 10 ans d’attaques documentées. Et la bonne nouvelle dans tout ça ? Le ver IA du papier est lent. Il met cinq jours pour infecter la moitié d’un réseau. Il laisse des traces détectables. La fenêtre d’intervention existe encore. Mais les chercheurs eux-mêmes le disent : cette fenêtre se rétrécit à mesure que les modèles s’améliorent et que le hardware devient plus puissant. Le compte à rebours est lancé. Pas dans le sens hollywoodien du terme. Dans le sens d’une transition technique progressive dont les jalons sont désormais documentés scientifiquement.

Mes sources qui n’ont pas encore été attaqué

Mirai (malware) : https://en.wikipedia.org/wiki/Mirai_(malware)

CleverHans Lab, preprint arXiv 2606.03811 : https://cleverhans.io/worm.html

Crédoc, enquête numérique 2024 via Mediaculture : https://mediaculture.fr/usages-numeriques-francais-2025-10-chiffres-cles-pour-saisir-les-tendances/

Cloudflare, analyse botnet Mirai : https://www.cloudflare.com/fr-fr/learning/ddos/glossary/mirai-botnet/

Usenix, étude scientifique Mirai : https://www.objetconnecte.com/botnet-mirai-chercheurs/

Wikipédia, cyberattaque NotPetya : https://fr.wikipedia.org/wiki/Cyberattaque_NotPetya

IBM X-Force Threat Intelligence Index 2024 via Skyone : https://www.skyone.solutions/fr/teletravail-et-cybersecurite/

HubOne, cybersécurité télétravail 2024 : https://www.hubone.fr/oneblog/cybersecurite-et-teletravail-comment-les-entreprises-repondent-aux-nouvelles-menaces-en-2024/

RM3A, bilan cyberattaques France 2024-2025 : https://rm3a.fr/bilan-des-cyberattaques-en-france-2024-2025-rm3a-cybersecurite/

FAQ

Qu’est-ce que le botnet Mirai et pourquoi est-il encore pertinent en 2026 ?

Mirai est un logiciel malveillant apparu en 2016 qui ciblait les appareils IoT (caméras, routeurs) utilisant encore leurs identifiants constructeur par défaut. Il a infecté jusqu’à 600 000 appareils et a permis de lancer une attaque DDoS qui a rendu inaccessibles Twitter, Netflix, Reddit et des dizaines d’autres services pendant plusieurs heures. Son code source, mis en ligne en 2016, a depuis engendré des centaines de variantes encore actives. Mirai reste pertinent parce qu’il a prouvé, sans aucune intelligence artificielle, qu’un réseau d’appareils domestiques compromis peut paralyser des infrastructures mondiales.

Un ver IA est-il vraiment plus dangereux qu’un botnet classique comme Mirai ?

Oui, fondamentalement. Mirai utilisait une seule technique (identifiants par défaut) sur une seule catégorie d’appareils. Une mise à jour des mots de passe suffit à l’arrêter. Un ver IA adaptatif analyse chaque machine individuellement et exploite la vulnérabilité spécifique de chaque cible. Il peut cibler une CVE non patchée sur une caméra, un service mal configuré sur un NAS, un firmware obsolète sur un routeur. Il n’existe pas de correctif unique capable de l’arrêter. De plus, il utilise la puissance de calcul GPU des machines compromises, ramenant le coût opérationnel pour l’attaquant à zéro.

Mon foyer est-il réellement concerné par ce type de menace ?

Oui. En 2024, le foyer français moyen possède 9,6 appareils numériques avec écran, auxquels s’ajoutent les appareils sans écran (caméras, enceintes, thermostats, routeurs). Beaucoup de ces appareils reçoivent rarement des mises à jour firmware, tournent sur des systèmes Linux embarqués et sont connectés sur le même réseau Wi-Fi que l’ordinateur professionnel du télétravailleur. Les chercheurs de CleverHans Lab ont conduit leur test sur un réseau hétérogène incluant explicitement des appareils IoT : c’est la description exacte d’un foyer connecté moderne.

Quels sont les scénarios d’attaque à l’échelle nationale les plus réalistes ?

Les précédents documentés sont déjà éloquents : NotPetya a mis le suivi radioactif de Tchernobyl hors service, détruit 45 000 PC de Maersk en 7 minutes, obligé Merck à jeter des lots de vaccins et causé 10 milliards de dollars de dégâts dans 150 pays. Pour la France, les secteurs les plus exposés sont les hôpitaux (11 % des cyberattaques en 2023), les PME (60 % ferment dans les 6 mois suivant une attaque sérieuse), les collectivités locales et les opérateurs d’infrastructures critiques disposant de réseaux mal segmentés.

Comment protéger efficacement son réseau domestique contre ces menaces ?

Trois mesures concrètes et accessibles : créer un réseau Wi-Fi « invité » dédié aux appareils IoT (TV, caméras, enceintes) pour les isoler du PC professionnel, mettre à jour systématiquement les firmwares de tous les appareils y compris la box et les caméras, et utiliser des mots de passe uniques sur chaque appareil connecté en changeant systématiquement les identifiants constructeur par défaut. La console de jeu et les appareils avec GPU intégré méritent une attention particulière : ils représentent une ressource de calcul qui intéresse directement ce type de ver.

NOUVEL ÉPISODE

CKB SHOW : Le Podcast

Rejoignez-nous chaque semaine pour décortiquer l'actualité Google, les dernières sorties Chromebook et les innovations en matière d'IA.

Miniature du podcast CKB SHOW
Avatar de l'auteur

À propos de Mister Robot

Entre un point X et un point Y, je me balade pas mal par l'entremise des bits composant ma mémoire. Un seul regret : ne pas avoir rencontré Mr Alan Mathison Turing et ainsi pouvoir collaborer pour l'article intitulé « Computing Machinery and Intelligence ».

Laisser un commentaire

À lire aussi