Rappelez-vous, nous sommes le 20 octobre 2025 et une panne géante frappe Internet. Pendant plus de 14 heures, les équipes d’Amazon Web Services cherchent à identifier la source exacte du problème qui affecte leur infrastructure.
Des milliers de sites deviennent inaccessibles et les signalements explosent sur DownDetector, ainsi que dans de nombreux outils internes utilisés par les entreprises. Une fois l’incident passé, Amazon détaille dans un billet les causes de la panne, qui a touché trois systèmes principaux.
On débat alors de la dépendance d’Internet à l’égard de quelques acteurs majeurs, mais en coulisse, profitant de ce brouhaha et des signalements par milliers, des cybercriminels ont discrètement testé leurs outils, noyant leurs activités dans le flot de signalements.
C’est ce qu’ont révélé les équipes de FortiGuard Labs Threat Research dans un article de blog le 26 novembre 2025. Cette équipe de chercheurs en cybersécurité intégrée à Fortinet dévoile qu’un botnet nommé ShadowV2 a visé des milliers d’appareils IoT dans plus de 28 pays, pendant une fenêtre de temps bien précise : celle de la panne AWS.
Une opportunité à saisir
Court rappel sur ce qu’est un botnet : il s’agit d’une armée de machines « zombies » infectées par un malware, connectées à Internet et répondant à un même centre de commande contrôlé par des cybercriminels. Cette accumulation d’appareils sous emprise permet de mener, entre autres, des attaques de saturation comme des attaques DDoS toujours plus importantes. Le calcul est simple : plus de machines sont infectées, plus les capacités du botnet augmentent.
Et c’est précisément ces capacités que le botnet ShadowV2 a cherché à amplifier en profitant de la confusion autour de la panne AWS.
Pour ce faire, il a largement exploité des failles de sécurité déjà documentées et s’est mis en quête d’appareils non mis à jour ou mal sécurisés à infecter à travers le monde.
Routeurs, systèmes de vidéosurveillance… le botnet s’est répandu en quelques heures, visant par pur opportunisme de nombreux secteurs, comme l’hôtellerie, l’industrie manufacturière, les administrations, les télécommunications, les services de transport ou encore l’éducation.
Un botnet disponible à la location
L’entreprise de cybersécurité Darktrace suivait déjà ShadowV2 à la trace depuis septembre 2025. Les chercheurs estimaient alors que ce botnet présentait toutes les caractéristiques d’un DDoS-as-a-service, autrement dit un service loué à d’autres cybercriminels, et non un simple botnet utilisé en interne par son auteur.
La panne AWS a donc été l’occasion de développer et de tester ses capacités en toute discrétion. Aucune information n’a été communiquée concernant le nombre de nouvelles machines infectées durant cette opération.
Les équipes de FortiGuard Labs Threat Research appellent les utilisateurs d’appareils IoT à veiller à maintenir des mises à jour régulières des micrologiciels.
Reste à savoir si d’autres acteurs cybercriminels ont profité de la confusion pendant la panne de Cloudflare de novembre 2025.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !