Plus de 20 milliards d’appareils, une sécurité minimale
Les chiffres ont franchi un seuil qui rend le problème structurel et non anecdotique. Le rapport State of IoT 2025 d’IoT Analytics, publié en octobre 2025, estime à 21,1 milliards le nombre d’appareils IoT connectés dans le monde en 2025 — soit une augmentation de 14 % par rapport aux 18,5 milliards comptabilisés en 2024. D’ici 2030, la projection atteint 39 milliards. Ces appareils — caméras intelligentes, routeurs, capteurs industriels, moniteurs médicaux, thermostats connectés, appareils électroménagers — partagent un profil de vulnérabilité commun : ils sont livrés avec des identifiants par défaut, exécutent un firmware obsolète rarement ou jamais mis à jour, ne chiffrent pas les données en transit et fonctionnent sur des processeurs trop limités pour exécuter des logiciels de sécurité conventionnels.
L’économie de la fabrication IoT explique le déficit de sécurité. Une caméra connectée à 15 $ vendue sur AliExpress fonctionne avec des marges mesurées en centimes. Ajouter un processus de démarrage sécurisé, des mises à jour de firmware chiffrées, des identifiants uniques par appareil et un support continu de correctifs de sécurité pourrait ajouter 2 à 5 $ au coût des composants et nécessiter un investissement d’ingénierie soutenu que le modèle économique du fabricant ne supporte pas. Les OEM basés à Shenzhen qui produisent des millions d’appareils en marque blanche pour des marques mondiales n’ont aucune incitation à investir dans des fonctionnalités de sécurité que les consommateurs ne voient pas et ne demandent pas. Le résultat est une flotte mondiale d’appareils qui sont, du point de vue de la sécurité, définitivement vulnérables dès leur sortie d’usine.
Ce n’est pas un risque théorique. C’est une surface d’attaque active et industrialisée. Le rapport DDoS Threat Report Q1 2025 de Cloudflare a documenté une augmentation stupéfiante de 358 % des attaques DDoS en glissement annuel, bloquant 20,5 millions d’attaques au cours de ce seul trimestre. L’échelle des attaques individuelles a grimpé tout aussi dramatiquement : en octobre 2024, Cloudflare a atténué une attaque de 5,6 Tbps lancée par un botnet variant de Mirai utilisant environ 13 000 appareils IoT compromis. Au troisième trimestre 2025, le botnet Aisuru — commandant entre 1 et 4 millions d’hôtes infectés dans le monde — générait régulièrement des attaques dépassant 1 Tbps, avec un pic enregistré à 29,7 Tbps. Le rapport Q4 2025 a couronné l’année avec une attaque record de 31,4 Tbps.
L’économie des botnets : de Mirai à Aisuru
Le botnet Mirai de 2016 a constitué le tournant. Quand trois étudiants universitaires ont publié un malware qui scannait internet à la recherche d’appareils IoT utilisant des identifiants par défaut, les compromettait et les organisait en un canon DDoS coordonné, ils ont démontré que des millions d’appareils non sécurisés pouvaient être militarisés trivialement. L’attaque Mirai contre le fournisseur DNS Dyn le 21 octobre 2016 — qui a temporairement mis hors service Twitter, Netflix, Reddit, GitHub et des dizaines d’autres services majeurs — a utilisé environ 100 000 appareils compromis pour générer plus de 1,1 Tbps de trafic d’attaque.
Le code source de Mirai a été publiquement diffusé, engendrant un écosystème entier de variantes. En 2026, les chercheurs en sécurité suivent des dizaines de familles de botnets dérivés de Mirai, chacune ajoutant de nouvelles capacités d’exploitation. InfectedSlurs, découvert par Akamai fin octobre 2023, exploite des vulnérabilités zero-day dans les routeurs muraux FXC et les appareils NVR QNAP VioStor. Mozi, un botnet pair-à-pair qui avait historiquement infecté plus de 1,5 million d’appareils — environ 90 % en Chine et en Inde — a été neutralisé en août 2023 par ce que les chercheurs d’ESET ont déterminé être un déploiement délibéré d’un kill switch, probablement par les créateurs originaux ou les forces de l’ordre chinoises. Les variantes plus récentes ciblent des protocoles IoT industriels comme Modbus et BACnet, étendant la menace des botnets aux environnements de technologie opérationnelle. Le développement le plus significatif de 2025 a été l’émergence du botnet Aisuru, qui a assemblé une armée estimée entre 1 et 4 millions d’appareils compromis et déclenché des attaques DDoS hyper-volumétriques battant les records précédents.
L’économie des botnets a mûri en une industrie de services professionnels. Les services de DDoS-à-la-demande — commercialisés comme services « stresser » ou « booter » — louent la capacité de botnets IoT à des prix allant de 10 euros pour une attaque basique à plusieurs milliers par mois pour des campagnes soutenues à haut débit. Des chercheurs du Cybercrime Centre de l’Université de Cambridge, dans une étude présentée au USENIX Security Symposium en 2025, ont examiné les efforts des forces de l’ordre mondiales contre ces plateformes, constatant que la plupart des utilisateurs sont des joueurs et des acteurs occasionnels plutôt que des cybercriminels sophistiqués. Des opérations internationales comme Operation PowerOFF continuent de saisir des domaines de booters, mais de nouveaux services émergent aussi vite que les anciens sont démantelés.
Advertisement
La réponse réglementaire : le Cyber Resilience Act européen et au-delà
La défaillance du marché en matière de sécurité IoT — où les fabricants externalisent les coûts de sécurité sur les utilisateurs et l’internet dans son ensemble — a finalement déclenché une intervention réglementaire. Le Cyber Resilience Act (CRA) de l’UE, entré en vigueur le 10 décembre 2024, avec les obligations principales s’appliquant à partir du 11 décembre 2027, représente la réponse réglementaire la plus significative à ce jour. Le CRA impose que tous les produits comportant des éléments numériques vendus dans l’UE respectent des exigences essentielles de cybersécurité tout au long de leur cycle de vie, avec des obligations de signalement prenant effet dès le 11 septembre 2026.
Pour les fabricants IoT, les exigences du CRA sont transformatrices : pas de mots de passe par défaut (chaque appareil doit être livré avec des identifiants uniques), mises à jour de sécurité obligatoires pendant au moins cinq ans ou la durée de vie prévue du produit, politiques de divulgation de vulnérabilités et évaluations de conformité pour les catégories de produits à haut risque (routeurs, passerelles de maison connectée, contrôleurs industriels). La non-conformité entraîne des amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial. Le CRA rend effectivement le modèle de marque blanche de Shenzhen illégal pour le marché européen.
Les États-Unis ont adopté une approche plus souple avec le programme U.S. Cyber Trust Mark, officiellement lancé par la Maison Blanche le 7 janvier 2025, qui fournit un système d’étiquetage volontaire pour les appareils IoT répondant à des critères de sécurité de base. Administré par la FCC, le programme permet aux appareils conformes d’afficher une étiquette en forme de bouclier avec un code QR. Bien que volontaire, de grands détaillants dont Amazon et Best Buy se sont engagés à mettre en avant les produits Cyber Trust Mark. Le Product Security and Telecommunications Infrastructure Act (PSTI) du Royaume-Uni, en vigueur depuis le 29 avril 2024, interdit les mots de passe universels par défaut et exige des fabricants qu’ils publient des politiques de divulgation de vulnérabilités — un mandat plus étroit que le CRA mais applicable avec des amendes pouvant atteindre 10 millions de livres ou 4 % du chiffre d’affaires mondial.
Défis techniques : sécuriser 256 Ko de RAM
Même sous pression réglementaire, la sécurisation des appareils IoT fait face à de véritables contraintes techniques qui distinguent le problème de la sécurité logicielle conventionnelle. De nombreux appareils IoT fonctionnent sur des microcontrôleurs avec 256 Ko de RAM ou moins — un processeur Cortex-M0 à 48 MHz avec 32 Ko de stockage flash ne peut pas exécuter simultanément une pile TLS 1.3, un système de détection d’intrusion et un agent de mise à jour OTA. Les solutions de sécurité doivent être fondamentalement différentes des paradigmes de protection des terminaux qui fonctionnent sur les serveurs et ordinateurs portables.
La réponse de l’industrie converge vers plusieurs approches. La Platform Security Architecture (PSA Certified) d’ARM fournit un cadre de sécurité ancré dans le matériel pour les microcontrôleurs Cortex-M. Le projet de standardisation de la cryptographie légère du NIST a sélectionné la famille d’algorithmes Ascon en février 2023 et finalisé la norme sous la référence SP 800-232 en août 2025. Ascon fournit le chiffrement authentifié, le hachage et des fonctions à sortie extensible avec un minimum de mémoire et de surcharge computationnelle, rendant la cryptographie forte réalisable sur les plus petits appareils. Azure Sphere de Microsoft et OpenThread de Google représentent des approches au niveau de la plateforme, intégrant la sécurité dans le SDK de développement plutôt que de la greffer sur des produits finis.
La sécurité au niveau réseau offre une approche complémentaire pour les milliards d’appareils déjà déployés sans perspective de mise à jour du firmware. Des entreprises comme Armis — qui a levé 200 millions de dollars en Series D en octobre 2024 pour une valorisation de 4,2 milliards, puis 435 millions en novembre 2025 pour une valorisation de 6,1 milliards — et Finite State fournissent des plateformes de sécurité IoT sans agent qui surveillent le comportement des appareils au niveau du réseau. Le défi fondamental demeure : le problème de sécurité IoT est un problème d’incitations économiques, pas d’impossibilité technique, et tant que le coût de l’insécurité ne retombe pas sur les fabricants plutôt que sur les utilisateurs, la crise des botnets continuera de croître avec chaque appareil livré.
Advertisement
🧭 Radar de Décision (Prisme Algérien)
| Dimension | Évaluation |
|---|---|
| Pertinence pour l’Algérie | Élevé — les déploiements IoT de l’Algérie dans les villes intelligentes, l’énergie (SCADA de Sonatrach) et les télécoms s’étendent ; la plupart des appareils importés manquent de bases de sécurité |
| Infrastructure prête ? | Non — l’Algérie n’a pas de cadre de certification de sécurité IoT ni d’exigences de sécurité à l’importation pour les appareils connectés |
| Compétences disponibles ? | Faible — l’expertise en sécurité IoT est concentrée dans une poignée de groupes de recherche universitaires ; aucun fournisseur commercial de sécurité IoT n’opère localement |
| Calendrier d’action | 12-24 mois — le CRA européen va remodeler la chaîne d’approvisionnement mondiale de l’IoT d’ici 2027, améliorant indirectement les appareils disponibles en Algérie ; des normes d’importation proactives pourraient accélérer ce processus |
| Parties prenantes clés | ARPT (régulateur des télécoms), ANSI, Douanes (normes d’importation), Sonatrach/Sonelgaz (IoT industriel), Ministère du Commerce |
| Type de décision | Stratégique — l’Algérie pourrait adopter des exigences d’importation alignées sur le CRA pour tirer parti de l’élan réglementaire européen sans construire une infrastructure de certification domestique à partir de zéro |
En bref : La crise des botnets IoT est une défaillance de marché maintenant corrigée par la réglementation. Le Cyber Resilience Act européen forcera les fabricants à intégrer la sécurité dans les appareils connectés d’ici 2027. L’Algérie peut en bénéficier en alignant ses normes d’importation sur le CRA, garantissant que les appareils entrant sur son marché respectent les bases de sécurité que les fabricants seront contraints d’implémenter pour le marché européen.
Sources et lectures complémentaires
- IoT Analytics — State of IoT 2025: 21.1 Billion Connected Devices
- Cloudflare — Q4 2024 DDoS Threat Report: Record 5.6 Tbps Attack
- Cloudflare — Q1 2025 DDoS Threat Report: 358% YoY Increase
- Cloudflare — Q3 2025 DDoS Threat Report: Aisuru Botnet
- Cloudflare — Q4 2025 DDoS Threat Report: 31.4 Tbps Record
- Cloudflare — Inside Mirai: A Retrospective Analysis
- EU Cyber Resilience Act — Official Summary
- Akamai — InfectedSlurs Botnet Zero-Day Discovery
- ESET — Who Killed Mozi? Putting the IoT Zombie Botnet in Its Grave
- NIST — Lightweight Cryptography: Ascon Selection (Feb 2023)
- NIST — SP 800-232: Ascon Lightweight Cryptography Standard (Aug 2025)
- U.S. Cyber Trust Mark — White House Launch Announcement
- FCC — U.S. Cyber Trust Mark Program
- UK PSTI Act — Product Security Regime
- Armis — $200M Series D at $4.2B Valuation (Oct 2024)
- Armis — $435M Round at $6.1B Valuation (Nov 2025)
- ARM PSA Certified Security Framework
- Cambridge Cybercrime Centre — DDoS-for-Hire Takedown Study (USENIX 2025)
Advertisement