Une prolifération rapide à l’échelle mondiale
Depuis son apparition fin février 2025, le botnet Eleven11bot s’est rapidement imposé comme l’une des menaces les plus redoutables du paysage cybernétique mondial. Identifié par Nokia Deepfield, il a déjà compromis plus de 86 000 appareils IoT à travers plus de 70 pays. En tête de liste figurent les États-Unis, le Royaume-Uni, le Mexique, le Canada et l’Australie.
Ce réseau repose essentiellement sur des dispositifs vulnérables tels que des caméras de vidéosurveillance, des NVR (Network Video Recorders) et des routeurs domestiques exposés à Internet, souvent laissés avec des configurations par défaut. L’automatisation du processus d’infection rend ce botnet particulièrement efficace.
Des attaques DDoS à un niveau record
Le 27 février 2025, Eleven11bot a été utilisé pour orchestrer une attaque DDoS culminant à plus de 6,5 térabits par seconde, établissant un nouveau record mondial. Cette offensive visait des fournisseurs d’accès Internet et des infrastructures de jeux en ligne, entraînant d’importantes perturbations dans plusieurs régions du globe.
Cette performance dépasse largement les capacités observées lors d’attaques similaires impliquant Mirai ou Meris, témoignant de l’évolution constante des menaces. La flexibilité du code utilisé suggère une sophistication croissante et une adaptation rapide aux environnements ciblés.
Une concentration géographique qui interroge
Une analyse menée par la société de renseignement GreyNoise indique que plus de 60 % des adresses IP contrôlées par le botnet sont localisées en Iran. Cette observation soulève des questions quant à l’origine de l’opération et à la possibilité qu’elle soit liée à des groupes étatiques ou sponsorisés.
Néanmoins, l’attribution reste incertaine dans le domaine de la cybersécurité. Il est courant que des acteurs malveillants fassent transiter leurs attaques par des infrastructures compromises dans d’autres pays afin de brouiller les pistes.
Techniques d’infection et vulnérabilités exploitées
Eleven11bot s’appuie sur des vecteurs classiques mais redoutablement efficaces :
Mots de passe par défaut
Une grande partie des appareils compromis utilisent encore les identifiants d’usine, facilitant ainsi leur prise de contrôle par des scripts automatisés.
Ports Telnet et SSH ouverts
Le botnet scanne en permanence Internet à la recherche d’équipements accessibles via Telnet ou SSH. Une fois détectés, il tente des attaques par force brute.
Vulnérabilités logicielles non corrigées
Plusieurs firmwares, notamment ceux des puces HiSilicon et Realtek, sont visés pour leurs failles connues. Faute de mises à jour, ces faiblesses persistent dans de nombreux réseaux.
Une résurgence des botnets massifs
Eleven11bot n’est pas sans rappeler les grandes campagnes de botnets des années 2010, à l’image de Mirai. Cependant, sa portée, sa rapidité de propagation et sa résilience en font une évolution préoccupante. D’après SecurityWeek, il pourrait s’agir de l’une des infrastructures DDoS les plus puissantes jamais vues dans un contexte non militaire.
Mesures de protection recommandées
Pour se prémunir contre ce type de menace, plusieurs bonnes pratiques s’imposent :
- Modifier systématiquement les mots de passe par défaut des appareils connectés.
- Restreindre les accès distants inutiles aux ports sensibles.
- Appliquer régulièrement les mises à jour de sécurité proposées par les fabricants.
- Déployer des solutions de filtrage de trafic et de mitigation DDoS sur les réseaux d’entreprise.
- Surveiller les logs pour identifier d’éventuelles anomalies comportementales.
Conclusion
Le cas Eleven11bot rappelle que la sécurité des objets connectés reste un talon d’Achille dans les écosystèmes numériques. Tant que ces dispositifs seront déployés sans précaution élémentaire, les cybercriminels disposeront de puissants leviers pour orchestrer des attaques à grande échelle. La vigilance, la sensibilisation des utilisateurs et la réactivité des fournisseurs d’accès sont plus que jamais essentielles pour endiguer ce phénomène.