Actualités

Un groupe de pirates informatiques russes cible les routeurs domestiques et ceux des petites entreprises pour espionner les utilisateurs

par Pieter Arntz | 8 avril 2026
panneau avant d'un routeur

Les autorités britanniques chargées de la sécurité ont découvert qu'un groupe lié à l'armée russe espionnait les utilisateurs de routeurs SOHO (Small Office/Home Office) piratés dans le cadre d'une vaste campagne de cyberespionnage. Un article publié sur le blog de Microsoft revient sur les détails techniques de ces attaques.

Ce groupe, que nous appellerons APT28, mais qui est également connu sous des noms tels que Fancy Bear, BlueDelta et Forest Blizzard, modifie les paramètres DNS des routeurs compromis afin que leur trafic soit acheminé via des serveurs sous son contrôle, ce qui permet à APT28 d'espionner les utilisateurs.

Le système de noms de domaine (DNS) permet de localiser les noms de domaine Internet et de les convertir en adresses IP (Internet Protocol). Les appareils obtiennent généralement leurs paramètres réseau auprès des routeurs via le protocole DHCP (Dynamic Host Configuration Protocol).

Si un pirate parvient à altérer les paramètres DNS du routeur, il peut rediriger le trafic en toute discrétion vers une infrastructure qu’il contrôle, récupérer des identifiants de connexion et, dans certains cas, s’interposer entre l’utilisateur et le service réel. C’est pourquoi cette campagne peut faciliter le vol d’identifiants, voire l’interception ciblée du trafic Microsoft 365 et d’autres services cloud.

Selon un communiqué du FBI, APT28 :

« … a récupéré des mots de passe, des jetons d’authentification et des informations sensibles, notamment des e-mails et des données de navigation sur le Web, qui sont normalement protégés par chiffrement SSL (Secure Socket Layer) et TLS (Transport Layer Security). »

Selon le FBI, le groupe a d'abord ratissé large aux États-Unis et dans le monde entier, avant de cibler plus précisément les personnes ayant accès à des informations relatives à l'armée, au gouvernement et aux infrastructures critiques.

L'avis du NCSC met en avant un modèle spécifique de TP-Link (WR841N) présentant une vulnérabilité connue qui permet à un attaquant non authentifié d'obtenir des informations telles que des noms d'utilisateur et des mots de passe via des requêtes HTTP GET spécialement conçues. Ce modèle de routeur est largement commercialisé auprès des particuliers et des petites entreprises et n'est généralement pas utilisé comme équipement standard par les principaux fournisseurs d'accès à Internet. L'article comprend également une liste longue, mais non exhaustive, d'autres modèles de routeurs TP-Link ciblés par APT28.

Selon Microsoft Threat Intelligence, plus de 200 organisations et 5 000 appareils grand public auraient été touchés par l'infrastructure DNS malveillante de Forest Blizzard.

Le débat sur l'interdiction des routeurs

Il y a quelques semaines, nous avons commenté la décision de la FCC d'empêcher de facto l'importation de routeurs fabriqués à l'étranger, à moins que leurs fabricants n'obtiennent une dérogation, en raison de ce quela FCC a qualifié de« risque inacceptable pour la sécurité nationale des États-Unis ou pour la sûreté et la sécurité des ressortissants américains ».

Les agissements d’APT28 illustrent le type de risque que la FCC tente d’endiguer, mais ils viennent également étayer notre argument : alors que le débat sur l’interdiction des routeurs et les restrictions relatives à la chaîne d’approvisionnement se concentre souvent sur l’origine nationale, la question principale est de savoir si ces appareils sont réellement sécurisés dans la pratique. Si un routeur est livré avec des paramètres par défaut faibles, une prise en charge des mises à jour insuffisante ou un processus de configuration confus, il devient une cible, quel que soit son lieu de fabrication. Les attaquants n'ont pas besoin de la perfection. Il leur suffit d'un nombre suffisant d'appareils exposés pour mettre en place une infrastructure vaste et discrète dédiée à l'espionnage et à la redirection.

Ce que vous pouvez faire

Pour vérifier si vos paramètres sont corrects, nous ne pouvons vous donner que des indications générales, car ils dépendent parfois fortement du modèle de l'appareil. Mais cette méthode fonctionne généralement :

Comment vérifier que les paramètres DHCP de votre routeur correspondent bien à ceux prévus par votre fournisseur d'accès Internet :

  1. Vérifiez les informations DHCP actuelles de votre appareil.
    Sur un PC ou un téléphone connecté à votre réseau domestique, ouvrez les détails du réseau et notez l'adresse IP, le masque de sous-réseau, la passerelle par défaut et les serveurs DNS utilisés par votre appareil.
  2. Connectez-vous à votre routeur et accédez à ses paramètres WAN/Internet.
    Dans l'interface Web du routeur, consultez la page « État » ou « Internet » pour voir quelle adresse il a reçue de votre FAI et quels serveurs DNS il est configuré pour utiliser.
  3. Comparez ces informations avec ce que votre FAI indique dans sa documentation ou vous communique.
    Consultez les pages d'assistance de votre FAI ou contactez son service d'assistance pour vérifier ses recommandations : si votre connexion doit utiliser le protocole DHCP ou PPPoE, la plage d'adresses IP publiques dont votre adresse devrait provenir, et les serveurs DNS qu'il fournit habituellement. Des divergences importantes (par exemple, des serveurs DNS situés dans un autre pays ou appartenant à une organisation inconnue) justifient une enquête plus approfondie.
  4. Si vous utilisez un DNS personnalisé, consignez-le.
    Si vous utilisez délibérément un autre serveur DNS (par exemple, un résolveur axé sur la confidentialité ou la sécurité), notez-le et vérifiez régulièrement que votre routeur et vos clients utilisent toujours les adresses que vous avez choisies.

Autres mesures

Si vous en avez les moyens et que vous ne l'avez pas encore fait, passez auWi-Fi 7pour pérenniser votre installation tant que les modèles actuels sont encore disponibles en magasin.

Vous devriez au moins :

  • Modifiez les noms d'utilisateur et mots de passe par défaut de votre routeur pour les rendre plus difficiles à deviner.
  • Consultez le site Web du fournisseur pour connaître les dernières mises à jour, vérifiez la date de fin de vie du produit et effectuez la mise à jour vers les dernières versions du micrologiciel.
  • Dans la mesure du possible, désactivez les interfaces de gestion à distance accessibles depuis Internet.
  • Tous les utilisateurs doivent prêter une attention particulière aux avertissements relatifs aux certificats qui s'affichent dans les navigateurs Web et les clients de messagerie, car ceux-ci indiquent un problème au niveau de la connexion sécurisée et peuvent signifier que vous n'êtes pas connecté au site authentique.

Pour les utilisateurs avertis, le remplacement du micrologiciel d'origine par des alternatives open source tellesqu'OpenWrtouDD-WRTpeut prolonger la durée de vie sécurisée d'un routeur. Cette opération comporte toutefois des risques, notamment l'annulation de la garantie ou la possibilité de rendre votre appareil inutilisable. Vous ne devriez vous lancer dans cette démarche, ou la faire réaliser, que si vous maîtrisez le dépannage.

Si un citoyen américain soupçonne avoir été la cible d'une cyberattaque russe ou avoir été compromis, il est invité à signaler ces faits àl'antenne locale du FBIou à déposer une plainte auprès del'IC3. Veillez à fournir des détails sur le routeur concerné, notamment le type d'appareil et les configurations DHCP.

Naviguez comme si personne ne vous regardait. 

Malwarebytes Privacy VPN votre connexion et n'enregistre jamais vos activités, pour que le prochain article que vous lirez ne vous concerne pas personnellement.Essayez-le gratuitement → 

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

AI
Logo Claude

Un chercheur affirme que Claude Desktop installe des « logiciels espions » sur macOS

Avril 22, 2026

Un chercheur en sécurité affirme que Claude Desktop a installé un logiciel espion sur son Mac. Nous examinons ses conclusions.

Actualités
Logo Apple sur fond noir

De véritables notifications Apple sont utilisées pour mener des escroqueries liées à l'assistance technique

Avril 21, 2026

Les escrocs ont trouvé le moyen d'utiliser frauduleusement des e-mails de notification officiels d'Apple pour inciter les gens à appeler de faux numéros d'assistance technique.

Podcast
Un cadenas illustré est monté sur un pied de microphone et des ondes sonores sont émises par l'appareil.

Les géants de la tech pourraient mettre fin aux arnaques. Mais ils ne le font pas (Lock and Code, saison 7, épisode 8)

Avril 20, 2026

Cette semaine, dans le podcast « Lock and Code », nous discutons avec Marti DeLiema des mesures qui s'avèrent réellement efficaces pour protéger les personnes âgées contre les escroqueries financières.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries