Netcrook Logo
👤 AGONY
🗓️ 08 Apr 2026   🌍 Europe

Invasion silencieuse : l’armée russe transforme les routeurs domestiques en réseau mondial d’espionnage

Des dizaines de milliers de routeurs domestiques à travers le monde ont été détournés par le GRU russe, transformant des foyers sans méfiance en armes cybernétiques secrètes.

Tout a commencé par une connexion Wi-Fi lente - une petite gêne pour une famille de la banlieue parisienne, une petite entreprise à Toronto, un fonctionnaire en Amérique du Sud. Mais derrière ces frustrations quotidiennes, une opération bien plus sinistre se déroulait. À leur insu, leurs routeurs domestiques avaient été discrètement enrôlés dans l’une des plus vastes campagnes de cyber-espionnage soutenues par un État cette année, orchestrée par la célèbre agence de renseignement militaire russe, le GRU.

En bref

  • Entre 18 000 et 40 000 routeurs grand public piratés dans 120 pays.
  • Attaque liée à APT28 (aussi connu sous les noms de Forest Blizzard, Pawn Storm, STRONTIUM), une unité cyber du GRU russe.
  • Routeurs ciblés principalement fabriqués par MikroTik et TP-Link, en particulier les modèles anciens et non mis à jour.
  • Routeurs détournés utilisés pour récolter des identifiants et rediriger le trafic à des fins d’espionnage, y compris des attaques contre des agences gouvernementales.
  • Les attaquants ont manipulé les paramètres DNS et exploité des protocoles réseau de base pour rester indétectés.

Comment le GRU russe a militarisé votre Wi-Fi

Selon les chercheurs de Black Lotus Labs, une division de Lumen Technologies, l’unité cyber de l’armée russe - APT28 - a pris le contrôle de dizaines de milliers de routeurs domestiques. La plupart des victimes n’en avaient aucune idée : leurs appareils, souvent équipés de micrologiciels obsolètes, ont été silencieusement transformés en outils de surveillance mondiale et de vol d’identifiants.

Les attaquants se sont concentrés sur les routeurs MikroTik et TP-Link, exploitant des vulnérabilités bien connues. Une fois à l’intérieur, ils modifiaient les paramètres DNS des routeurs, reprogrammant ainsi la façon dont les appareils connectés accédaient aux sites web. Tout appareil sur le réseau infecté - ordinateurs portables, téléphones, même téléviseurs connectés - pouvait être redirigé vers de faux sites conçus pour récolter des mots de passe ou servir de tremplin à d’autres attaques.

Mais l’opération ne s’est pas arrêtée à l’écoute clandestine. Certains routeurs détournés servaient de proxys secrets, relayant le trafic entre les attaquants russes et des cibles de grande valeur comme des ministères ou des agences de sécurité. Cela permettait aux pirates de masquer leurs mouvements, rendant leurs activités d’espionnage plus difficiles à retracer.

APT28, également connu sous les noms de Forest Blizzard ou STRONTIUM, est réputé pour son agilité technologique. Cette dernière campagne allie des tactiques avancées à des techniques classiques, telles que la manipulation du DNS et l’utilisation du protocole DHCP (Dynamic Host Configuration Protocol) pour propager des paramètres malveillants sur l’ensemble du réseau. Même après avoir été exposé à plusieurs reprises, le groupe s’adapte, perfectionnant ses outils et techniques pour garder une longueur d’avance sur les défenseurs.

Le coût quotidien de la cyberguerre

Pour la plupart des victimes, le piratage était invisible - pas de demande de rançon, aucun signe évident d’intrusion. Pourtant, l’impact est profond : données personnelles en danger, communications gouvernementales critiques compromises, et l’infrastructure même d’Internet militarisée au service de l’espionnage étranger. Cet incident rappelle brutalement que même les appareils les plus banals de nos foyers peuvent devenir des pions dans les conflits cybernétiques mondiaux - surtout lorsqu’ils ne sont pas mis à jour ou protégés.

Alors que la cyberguerre s’infiltre de plus en plus dans nos salons, les experts exhortent consommateurs et organisations : sécurisez vos routeurs, mettez à jour les micrologiciels, et ne sous-estimez jamais la valeur de votre porte d’entrée numérique.

WIKICROOK

  • APT28 : APT28, ou Fancy Bear, est un groupe de hackers soutenu par l’État russe, connu pour ses opérations de cyber-espionnage contre des gouvernements et organisations occidentaux.
  • DNS (Domain Name System) : Le DNS, ou système de noms de domaine, traduit les noms de sites web comme google.com en adresses IP, agissant comme l’annuaire d’Internet pour faciliter la navigation.
  • Micrologiciel : Le micrologiciel est un logiciel spécialisé stocké dans les appareils matériels, gérant leurs opérations principales et leur sécurité, et leur permettant de fonctionner correctement.
  • Proxy : Un proxy est un serveur intermédiaire qui relaie le trafic Internet pour un utilisateur, souvent utilisé pour masquer la véritable adresse IP et renforcer la confidentialité.
  • Dynamic Host Configuration Protocol (DHCP) : Le DHCP est un protocole qui attribue automatiquement des adresses IP et des paramètres réseau aux appareils, simplifiant la gestion du réseau et réduisant la configuration manuelle.
Russia Cyber Espionage Home Routers
AGONY AGONY
Elite Offensive Security Commander
← Back to news