Les chercheurs avertissent que les proxys résidentiels utilisés pour acheminer le trafic malveillant constituent un problème majeur pour les systèmes de réputation IP, car il n'y a pas de distinction claire entre les attaquants et les utilisateurs légitimes. Cela est principalement dû au fait que les proxys résidentiels sont trop éphémères, non impliqués ou systématiquement mis en rotation, ce qui empêche les systèmes de défense de les cataloguer efficacement à temps. **GreyNoise**, une plateforme d'intelligence en cybersécurité, est parvenue à cette conclusion après avoir examiné un ensemble de données massif de 4 milliards de sessions malveillantes ciblant le périmètre sur une période de trois mois. ### Principales conclusions * Environ 39 % de ces sessions semblent provenir de réseaux domestiques, ce qui suggère fortement qu'elles font partie de réseaux de proxys résidentiels. * Un nombre significatif de 78 % de ces sessions sont invisibles aux flux de réputation. « Les données révèlent un schéma qui remet en question une hypothèse fondamentale de la défense réseau : que vous pouvez distinguer les attaquants des utilisateurs légitimes par l'origine du trafic », explique **GreyNoise**. Selon l'entreprise, la plupart des adresses IP résidentielles ne sont utilisées qu'une ou deux fois avant de disparaître, les attaquants les faisant pivoter suffisamment rapidement pour éviter d'être signalés par les systèmes de réputation. * Environ 89,7 % des adresses IP résidentielles sont actives dans des opérations malveillantes pendant moins d'un mois. * Seulement 8,7 % restent actives pendant deux mois. * À peine 1,6 % persistent pendant trois mois. Les adresses IP qui restent actives pendant des périodes prolongées ont tendance à se spécialiser, se concentrant sur SSH et utilisant les piles TCP Linux, selon les chercheurs.  La diversité complique encore les efforts de détection et de blocage. Les données de **GreyNoise** indiquent que les adresses IP résidentielles participant aux attaques appartiennent à 683 fournisseurs d'accès Internet différents. Un autre facteur contribuant à leur discrétion est leur utilisation principale pour le balayage réseau et la reconnaissance. Seulement 0,1 % sont impliqués dans des exploits réels, ont noté les chercheurs. Un faible pourcentage (1,3 %) a ciblé les pages de connexion VPN d'entreprise, tandis que des cas limités ont également impliqué des adresses IP résidentielles dans des tentatives de traversée de répertoire et de bourrage d'informations d'identification. Concernant la source de ces proxys résidentiels, **GreyNoise** identifie la Chine, l'Inde et le Brésil comme principaux contributeurs. Le trafic provenant de ces adresses IP suit les rythmes de sommeil humains, diminuant d'environ un tiers la nuit lorsque la plupart des utilisateurs éteignent leurs appareils.  Les chercheurs rapportent que le trafic des proxys résidentiels est généré par deux écosystèmes distincts et non chevauchants : les botnets IoT et les ordinateurs infectés. Dans ce dernier cas, les proxys proviennent de SDK intégrés dans des VPN gratuits, des bloqueurs de publicités et des applications similaires, qui inscrivent les appareils des utilisateurs dans des programmes de vente de bande passante. **GreyNoise** a également souligné la résilience de ces réseaux, citant l'exemple d'**IPIDEA**, l'un des plus grands réseaux de proxys résidentiels au monde. Le **Google Threat Intelligence Group (GTIG)** et ses partenaires ont récemment perturbé **IPIDEA**. La perturbation a réduit son pool de proxys d'environ 40 %, mais le trafic des centres de données a augmenté par la suite, indiquant que la demande peut être absorbée par d'autres fournisseurs et que la capacité perdue est rapidement remplacée.  ### Stratégies d'atténuation **GreyNoise** souligne que les tactiques d'évasion des proxys résidentiels nécessitent de s'éloigner de la réputation IP comme signal principal et de se concentrer plutôt sur l'analyse comportementale. Les chercheurs recommandent : * Détecter les sondages séquentiels à partir d'adresses IP résidentielles en rotation. * Bloquer les protocoles clairement illégitimes comme SMB depuis l'espace FAI. * Suivre les empreintes digitales des appareils qui persistent malgré la rotation des adresses IP.