Pendant 17 ans, ce réseau criminel utilisait votre box internet à votre insu : 454 victimes en France
Imaginez que votre box internet serve de couverture à des criminels pour vider des comptes bancaires, sans que vous ne vous en rendiez compte. C’est exactement ce qui s’est passé pendant 17 ans. Une opération judiciaire massive vient de dévoiler l’ampleur de cette menace invisible qui touchait 454 foyers français.
Ce réseau fantôme qui opérait depuis votre salon
Pendant près de deux décennies, un service baptisé SocksEscort transformait des box internet ordinaires en relais anonymes pour cybercriminels. Les appareils ciblés ? Des modèles courants que l’on trouve dans n’importe quel foyer français : TP-Link, Netgear, D-Link, Zyxel, Cisco, MikroTik, Hikvision.
Le plus troublant ? Les propriétaires ne remarquaient strictement rien. Pas de ralentissement, pas d’alerte, aucun signe visible d’infection. Votre box fonctionnait normalement tout en servant de passerelle secrète à des criminels.
Cette discrétion absolue explique pourquoi le réseau a pu opérer depuis 2009 sans être inquiété. Comme pour le piratage de boîte mail, les signes d’intrusion étaient invisibles pour l’utilisateur lambda.
AVRecon : le malware qui ne laissait aucune trace
Le cœur technique de cette opération s’appelle AVRecon, un cheval de Troie Linux particulièrement sournois. Ce logiciel malveillant exploitait des failles connues sur environ 1 200 modèles d’équipements réseau grand public, selon les révélations du FBI.
Une fois installé, AVRecon ouvrait un tunnel invisible entre votre box et les serveurs des criminels. Résultat : quand un fraudeur vidait un compte bancaire, tout semblait provenir de votre adresse IP résidentielle « propre ». Pour les banques et services en ligne, l’activité paraissait parfaitement légitime.
Black Lotus Labs, qui a documenté ce malware en 2023, estimait le parc actif à environ 20 000 routeurs infectés par semaine, avec un pic de plus de 15 000 nouvelles infections quotidiennes en janvier 2025.
À lire aussi
L’opération Lightning met fin à 17 ans d’activité criminelle
Le 11 mars 2026, une coalition de huit pays coordonnée par Europol a frappé fort. L’opération « Lightning » a permis de saisir 34 domaines et 23 serveurs dans 7 pays, tout en gelant 3,5 millions de dollars en cryptomonnaies côté américain.
Côté français, c’est la section de lutte contre la cybercriminalité du parquet de Paris qui a mené l’enquête après un renseignement des autorités américaines en juin 2024. Les chefs d’accusation sont lourds : accès frauduleux, modification de données, entrave au fonctionnement de systèmes informatiques, blanchiment en bande organisée.
La procureure Laure Beccuau confirme que 454 proxies étaient actifs en France au 4 mars 2026, faisant de l’Hexagone l’une des zones les plus touchées après les États-Unis et le Royaume-Uni.
Des préjudices chiffrés en millions de dollars
Les dégâts documentés par le Department of Justice américain donnent le vertige : un million de dollars en cryptomonnaies volés à un particulier new-yorkais, 700 000 dollars de fraude contre un industriel de Pennsylvanie, 100 000 dollars soutirés à des militaires américains.
Mais au-delà de la fraude financière pure, ce réseau a facilité des activités encore plus graves : déploiement de rançongiciels, attaques par déni de service et diffusion de contenus pédocriminels.
La plateforme de paiement Bitsidy.com, administrée par les mêmes individus, a encaissé plus de 5 millions d’euros selon le parquet de Paris. Une véritable machine à cash alimentée par la criminalité en ligne.
Comment savoir si votre box était infectée ?
Les appareils les plus vulnérables étaient les routeurs SOHO (Small Office/Home Office) de sept fabricants principaux. Les modèles en fin de vie, qui ne recevaient plus de mises à jour de sécurité, constituaient des cibles privilégiées.
À lire aussi
Le FBI a publié une liste des 20 modèles les plus touchés, incluant plusieurs références populaires des gammes Archer de TP-Link, certains modèles Netgear et D-Link largement répandus dans les foyers français.
Contrairement aux pannes classiques d’opérateurs, cette infection était totalement silencieuse. Aucun ralentissement, aucune coupure, aucun symptôme visible.
124 000 clients criminels dans la nature
La chute du réseau ne marque pas la fin de l’affaire. Le FBI révèle que la base de clients comptait environ 124 000 utilisateurs, tous des cybercriminels en quête d’anonymat. Les serveurs saisis constituent désormais une mine de renseignements sur les infractions commises en aval.
Cette révélation soulève une question troublante : combien d’autres réseaux similaires opèrent encore en toute discrétion ? Comme pour l’IPTV illégal, la lutte contre ces infrastructures criminelles nécessite une coordination internationale constante.
Le site socksescort.com affiche désormais un bandeau de saisie judiciaire. Mais pour les 454 foyers français qui ont servi de relais involontaires pendant des années, l’inquiétude demeure : quelles autres activités criminelles ont transité par leur connexion à leur insu ?
Que faire en cas de doute ?
Si vous possédez un routeur des marques citées, particulièrement s’il s’agit d’un modèle ancien, plusieurs précautions s’imposent. D’abord, vérifier que votre appareil dispose des dernières mises à jour de sécurité. Ensuite, changer les mots de passe par défaut si ce n’est pas déjà fait.
Le FBI invite à signaler toute activité suspecte via son portail Internet Crime Complaint Center. En France, comme pour d’autres affaires criminelles, c’est vers la plateforme Pharos qu’il faut se tourner pour signaler une cybercriminalité.
Cette affaire révèle une vérité dérangeante : dans l’ombre du web, nos appareils connectés peuvent devenir les complices involontaires d’activités criminelles. Une leçon de cybersécurité qui concerne directement 454 foyers français, et potentiellement bien d’autres encore.
