Comment les fournisseurs de proxys obtiennent des proxys résidentiels

Selon les recherches de DataDome, seuls 16 % des sites web sont capables de détecter les bots utilisant des proxys résidentiels. Cela signifie que 84 % des entreprises sont totalement exposées aux attaquants qui font transiter leur trafic via une connexion Internet résidentielle.

Voilà pourquoi les proxys résidentiels sont devenus l’arme de prédilection des opérateurs de bots avancés. Contrairement aux proxys de centres de données, les proxys résidentiels ressemblent à du trafic humain légitime puisqu’ils utilisent de véritables connexions Internet domestiques. Mais comment les fournisseurs de proxys obtiennent-ils l’accès à des millions d’adresses IP résidentielles ? Il n’y a pas qu’une seule réponse à cette question. Commençons par les bases.

Qu’est-ce qu’un proxy ?

Un proxy est un programme qui permet aux utilisateurs de modifier leur adresse IP en faisant passer leur trafic par l’infrastructure de quelqu’un d’autre. Les humains utilisent les proxys pour des raisons d’anonymat et de confidentialité, tandis que les opérateurs de bots malveillants les exploitent pour éviter d’être détectés et bloqués. Le schéma ci-dessous illustre les deux chemins possibles pour une requête HTTP : d’abord sans proxy, puis avec un proxy.

Pourquoi les proxys résidentiels sont-ils si attrayants pour les attaquants ?

Les hackers, fraudeurs et opérateurs de bots utilisent les proxys résidentiels pour plusieurs raisons.

• Les proxys résidentiels se fondent parfaitement dans la masse. Ils utilisent des adresses IP provenant de fournisseurs d’accès à Internet (FAI) comme AT&T, Comcast ou Verizon. Ce sont les mêmes IP que celles utilisées par vos clients à domicile. Lorsqu’un bot envoie une requête via un proxy résidentiel, elle ressemble en tout point à celle d’un humain naviguant depuis son salon.
• Le blocage traditionnel est inefficace contre les proxys résidentiels. La plupart des outils de sécurité bloquent en fonction de la réputation des IP. Les IP de data centers sont rapidement signalées, car elles ne sont manifestement pas humaines. Mais les IP résidentielles ont par défaut une bonne réputation. Elles sont plus difficiles à détecter et encore plus difficiles à bloquer sans impacter les vrais clients.
• L’échelle prend le dessus sur la détection. Les réseaux modernes de proxys résidentiels font tourner des millions d’adresses IP différentes. Chaque IP peut n’envoyer qu’une ou deux requêtes avant de changer. Cela rend la détection basée sur les schémas pratiquement impossible avec les outils traditionnels.

Comment les fournisseurs de proxy construisent-ils des réseaux résidentiels ?

Derrière chaque réseau de proxy résidentiel se trouvent des millions d’appareils réels : smartphones, ordinateurs portables, routeurs et objets connectés domestiques. Mais comment les sociétés de proxy obtiennent-elles l’accès à ces appareils ? Certaines méthodes impliquent des participants consentants qui comprennent le compromis. D’autres exploitent des utilisateurs qui n’ont aucune idée que leur connexion Internet est partagée. Voici les quatre principales techniques utilisées par les fournisseurs de proxys pour bâtir leurs réseaux :

Méthode 1 : SDK pour applications mobiles

Les fournisseurs de proxys proposent des kits de développement logiciel (SDK) aux développeurs d’applications mobiles comme alternative à la publicité pour monétiser leurs apps. Le processus fonctionne ainsi :

• le développeur intègre le SDK dans son application ;
• les utilisateurs téléchargent l’application et acceptent les conditions ;
• le SDK s’exécute en arrière-plan, faisant transiter le trafic proxy par l’appareil de l’utilisateur ;
• le fournisseur rémunère le développeur en fonction du volume de trafic.

Plus de 300 millions d’instances d’applications dans le monde contiennent de tels SDK¹. Rien qu’en 2024, Google a supprimé 28 applications malveillantes intégrant la bibliothèque PROXYLIB, qui transformaient les appareils en nœuds proxy sans consentement clair des utilisateurs².

308 millions d’installations sur des appareils Android

Méthode 2 : Extensions de navigateur

Les fournisseurs de proxys contactent les développeurs d’extensions de navigateur populaires et leur proposent une rémunération pour inclure leur code proxy dans les mises à jour de l’application. Cette approche fonctionne parce que les extensions disposent d’autorisations étendues et s’exécutent en continu en arrière-plan, tandis que les utilisateurs lisent rarement les politiques de confidentialité ou comprennent les autorisations qu’ils accordent.

Des chercheurs en sécurité de GitLab ont découvert que des extensions compromises ont affecté plus de 3,2 millions d’utilisateurs début 2025³. Des extensions présentées comme bloqueurs de publicité, VPN ou outils de productivité faisaient en réalité transiter du trafic à travers la connexion des utilisateurs.

Méthode 3 : Objets connectés et routeurs compromis

De nombreuses adresses IP résidentielles utilisées par les proxys proviennent d’appareils piratés qui ne peuvent pas donner leur consentement. Les attaquants ciblent fréquemment :

• les routeurs : 13 000 routeurs MikroTik ont été détournés en 2024 pour créer des réseaux proxy^{4 ;} 
• les caméras de sécurité : 15 % des appareils IoT utilisés dans les botnets sont des caméras IP^{5 ;}
• les objets connectés domestiques : tout appareil connecté au Wi-Fi domestique peut devenir un nœud proxy.

En 2024, les autorités néerlandaises et américaines ont démantelé un botnet de 7 000 appareils qui avait généré plus de 46 millions de dollars de revenus depuis 2004⁶.

Les types d’appareils généralement utilisés pour l’abus de proxy résidentiel⁽⁷⁾

Méthode 4 : Réseaux « maison »

Des entreprises comme Proxidize vendent du matériel qui automatise des grappes de cartes SIM, créant des réseaux proxy mobiles légitimes. Ces installations peuvent gérer simultanément des centaines de connexions 4G/5G, fournissant des IP mobiles propres sans compromettre les appareils des utilisateurs. Cette méthode se développe, les fournisseurs cherchant davantage de contrôle et de légitimité par rapport aux autres moyens d’acquisition.

Pourquoi la sécurité traditionnelle échoue-t-elle face aux proxys résidentiels ?

La sécurité traditionnelle repose sur le blocage des adresses IP « malveillantes ». Cela fonctionne pour les proxys de data centers. Mais les IP résidentielles paraissent légitimes par défaut, car elles appartiennent à des FAI authentiques et à de vrais foyers. Cela rend la réputation des IP pratiquement inutile face aux attaques utilisant des proxies résidentiels.

La limitation du débit ne fonctionne pas non plus, car les attaquants font tourner des millions d’IP résidentielles différentes. Chaque IP peut ne faire qu’une seule requête avant d’être remplacée, ce qui rend la limitation inefficace. La plupart des outils de sécurité ne détectent pas les subtiles incohérences géographiques qui pourraient révéler l’usage d’un proxy.

Les abus de proxys résidentiels nécessitent une défense renforcée

Les logiciels modernes de détection de bots analysent les schémas de comportement plutôt que de se limiter aux adresses IP. Même si les bots utilisent des IP résidentielles, leur comportement diffère encore de celui des humains, notamment sur des modèles de timing subtils, des séquences de requêtes et des méthodes d’interaction.

La solution de protection contre les bots DataDome examine simultanément des centaines de
signaux : empreintes de navigateur, schémas de timing, mouvements de souris, séquences de requêtes et caractéristiques des appareils. Cela permet de créer un profil comportemental complet, bien plus difficile à imiter pour un bot que le simple fait de faire tourner des adresses IP. DataDome analyse ces signaux en temps réel et prend des décisions en moins de 2 millisecondes, sans perturber les utilisateurs légitimes.

Comme de nombreux proxys résidentiels sont partagés entre plusieurs opérateurs de bots, les modèles d’apprentissage automatique de DataDome peuvent identifier des schémas comportementaux révélant l’utilisation de proxys, indépendamment de la réputation IP. La plateforme apprend en continu à partir de milliards de requêtes sur son réseau, détecte les nouveaux schémas de proxy au fur et à mesure de leur apparition et met à jour automatiquement ses modèles de détection.

Conclusion

Les proxys résidentiels représentent un changement fondamental dans la manière dont les bots échappent à la détection. Avec 84 % des sites web incapables de détecter les abus liés aux proxys résidentiels, les attaquants disposent d’un avantage considérable. La solution ne réside pas dans un meilleur blocage des IP, mais dans la détection comportementale, qui va au-delà des adresses IP pour identifier des schémas non humains. Alors que le marché des proxys résidentiels continue de croître, les entreprises ont besoin d’une protection capable de repérer les bots sophistiqués, peu importe l’apparente légitimité de leur adresse IP.

Vous voulez voir comment le trafic provenant de proxys résidentiels touche votre site ? La technologie avancée de détection comportementale des bots de DataDome identifie les abus de proxys résidentiels en temps réel, protégeant votre activité sans bloquer les clients légitimes. Essayez gratuitement DataDome pendant 30 jours.

Références

1. https://xianghang.me/files/ndss21_mobile_proxy.pdf
2. https://www.helpnetsecurity.com/2024/03/26/smartphone-apps-proxy-network/
3. https://www.aboutchromebooks.com/banned-chrome-extensions/
4. https://thehackernews.com/2025/01/13000-mikrotik-routers-hijacked-by.html
5. https://www.trendmicro.com/en_gb/research/25/a/iot-botnet-linked-to-ddos-attacks.html
6. https://thehackernews.com/2025/05/breaking-7000-device-proxy-botnet-using.html
7. https://www-users.cse.umn.edu/~fengqian/paper/rpaas_sp19.pdf