Le démantèlement de SocksEscort expose une mécanique discrète et massive, au carrefour des proxys résidentiels, des objets connectés piratés et des usages criminels les plus sensibles.
Une opération internationale coordonnée a porté un coup majeur à SocksEscort, un service de proxy actif dans plus de 100 pays. Sous l’égide d’Eurojust, avec l’appui d’Europol, de la justice française (dont l’OFAC) et du département de la Justice américain, les enquêteurs ont saisi 24 serveurs, dont 10 en France, et visé plusieurs dizaines de noms de domaine américains. L’enquête montre que le réseau exploitait des failles dans des routeurs résidentiels et des objets connectés pour y déployer un logiciel malveillant, puis louer les adresses IP compromises à des clients criminels. L’affaire illustre la valeur stratégique de ces infrastructures dans la fraude, le camouflage d’origine et l’économie souterraine du cybercrime.
Une infrastructure criminelle fondée sur l’anonymat loué
L’affaire n’a rien d’un simple site frauduleux fermé à la hâte. Elle révèle une chaîne technique et commerciale pensée pour fournir de l’opacité à la demande. Selon les éléments transmis, les investigations ont commencé en juin 2025. Elles ont établi que des cybercriminels exploitaient des vulnérabilités présentes dans des routeurs résidentiels et des objets connectés afin d’y injecter un virus. Une fois l’équipement compromis, son adresse IP entrait dans un parc loué à des tiers.
C’est là que réside la valeur de SocksEscort. Le service ne se contentait pas d’héberger des activités malveillantes. Il vendait à ses clients une présence numérique crédible, appuyée sur des connexions domestiques réelles. Pour un fraudeur, utiliser l’adresse IP d’un foyer ou d’une petite entreprise permet de brouiller les signaux habituels de détection. L’origine du trafic paraît banale, locale, parfois même digne de confiance. Dans l’univers du renseignement criminel, cette banalité apparente est une arme. Le site se présentait d’ailleurs ainsi : « Nous proposons la meilleure solution de proxy SOCKS5 pour tous ceux qui utilisent Craigslist, Badoo, PoF pour publier des annonces, répondre à des sondages, etc. » […] « outes nos adresses IP sont fixes et permanentes. Elles sont toutes résidentielles et proviennent d’appareils réels. Vous pouvez les utiliser sans limite : choisissez une adresse IP et l’utilisez autant que vous le souhaitez.« .
News & alertes actualités cyber
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.
Depuis l’été 2020, SocksEscort proposait à la vente l’accès à environ 369 000 adresses IP différentes. En février 2026, l’application recensait encore environ 8 000 routeurs infectés accessibles à ses clients, dont 2 500 aux États-Unis. À l’échelle mondiale, l’opération évoque plus d’un million de routeurs résidentiels et d’objets connectés compromis. Les revenus du service sont estimés à plus de 5 millions d’euros. L’empreinte géographique, elle, couvrait plus de 100 pays. ZATAZ avait pu repérer il y a peu : 102 pays et, 35 915 proxies.
61 proxies en Russie, 14 720 aux USA ; 580 au Canada, 5 317 au Royaume-Uni ou encire 454 en France et 695 en Italie.
Les usages décrits montrent la polyvalence de cette infrastructure. Les clients de SocksEscort s’en servaient pour masquer leur véritable adresse IP et leur localisation. Ce camouflage a facilité des attaques DDoS, la diffusion de contenus pédocriminels, des fraudes à l’assurance chômage, des détournements de comptes bancaires et de portefeuilles en cryptomonnaies. Derrière ces emplois divers, une constante demeure : sans couche d’anonymisation, nombre de ces opérations auraient été plus risquées, plus visibles, parfois impossibles. Il fallait débourser 15$ par mois pour 30 proxies et jusqu’à 200$ par mois pour 5000 proxies.
Le démantèlement éclaire aussi une réalité souvent sous-estimée. Les routeurs et objets connectés constituent un angle mort de la cybersécurité quotidienne. Ils sont omniprésents, rarement surveillés avec rigueur et fréquemment laissés sans mise à jour. Pour des acteurs criminels, ils représentent un vivier idéal de relais discrets, peu coûteux et distribués à l’échelle mondiale.
Une coopération judiciaire taillée pour frapper l’écosystème
L’autre enseignement majeur se situe sur le terrain judiciaire et opérationnel. Le 11 mars, dans le cadre d’une action internationale coordonnée, l’OFAC, Office anti-cybercriminalité Français, a participé au démantèlement du service avec ses partenaires étrangers, sous l’égide d’Eurojust et de la section J3 du Parquet de Paris, dirigée par la procureure Laure Beccuau. En parallèle, le département de la Justice américain a mené une opération de police autorisée par la justice, avec exécution de mandats de saisie visant plusieurs dizaines de noms de domaine américains soupçonnés d’être liés au réseau.
Au total, 24 serveurs ont été saisis, dont 10 sur le territoire français. Les forces de l’ordre autrichiennes, françaises et néerlandaises ont également démantelé de nombreux serveurs liés à l’infrastructure SocksEscort. L’enquête a mobilisé le bureau du FBI à Sacramento, le service d’enquêtes criminelles du département de la Défense, le bureau d’enquêtes criminelles de l’IRS à Oakland, ainsi qu’un ensemble de magistrats, enquêteurs et autorités spécialisées en Europe.
La liste des juridictions impliquées dit quelque chose de la nature du dossier. Autriche, Bulgarie, France, Allemagne, Hongrie, Pays-Bas et Roumanie ont apporté leur concours, aux côtés d’Europol et d’Eurojust. Ce maillage n’est pas accessoire. Un réseau de proxys résidentiels vit de sa dispersion. Ses machines sont réparties, ses domaines changent, ses serveurs migrent, ses clients opèrent sous couvert de juridictions multiples. Pour le neutraliser, il faut aligner droit, technique et coopération internationale.
Les victimes citées donnent enfin une mesure concrète du préjudice. Un client new-yorkais d’une plateforme d’échange de cryptomonnaies a perdu 1 million de dollars. Une entreprise manufacturière de Pennsylvanie a subi une escroquerie de 700 000 dollars. Des militaires américains, actifs ou retraités, détenteurs de la carte MILITARY STAR, ont perdu 100 000 dollars. Des pertes globales de plusieurs millions de dollars pour des victimes américaines.
