Votre routeur domestique est devenu l’arme favorite des hackers russes contre les entreprises

Des milliers de routeurs mal sécurisés servent désormais de portes dérobées à des espions russes. Le groupe Forest Blizzard cible gouvernements, entreprises et opérateurs télécom à travers le monde. Une alerte conjointe de Microsoft et du gouvernement britannique vient de révéler l'ampleur de l'opération.

Les cyberattaques visant les entreprises se multiplient depuis plusieurs années. Les pirates ne s'attaquent plus seulement aux grandes infrastructures directement. Ils cherchent des points d'entrée moins surveillés. Les routeurs domestiques sont devenus des cibles privilégiées. Peu protégés, ils permettent de pénétrer des réseaux bien plus sensibles. Une récente cyberattaque ayant compromis des milliers de sociétés françaises l'a bien rappelé.

C'est exactement la faille qu'exploite Forest Blizzard, alias APT28, un groupe lié au renseignement militaire russe. Microsoft Threat Intelligence et le gouvernement britannique ont publié un rapport conjoint le 7 avril 2026. Des opérations d'espionnage numérique ciblant des entreprises et des personnalités ont déjà été documentées, mais cette campagne marque une nouvelle étape dans l'échelle et la sophistication des méthodes utilisées. Le groupe opère depuis août 2025.

Forest Blizzard détourne des milliers de routeurs TP-Link pour espionner gouvernements et entreprises depuis août 2025

Forest Blizzard profite de mots de passe faibles ou de failles non corrigées pour prendre le contrôle des appareils visés. Une fois à l'intérieur, le groupe modifie la configuration DNS des routeurs. Ce dernier fonctionne comme l'annuaire d'Internet. En redirigeant ce trafic vers leur propre infrastructure, les pirates obtiennent une visibilité totale sur l'activité réseau. Dans les cas les plus ciblés, de fausses pages remplacent les sites légitimes. L'objectif est d'intercepter des identifiants et des emails. C'est ce que les experts appellent une attaque “adversaire au milieu”.

Plus de 200 organisations ont été touchées, ainsi que plus de 5 000 appareils individuels. Les secteurs visés incluent les gouvernements, l'informatique, les télécommunications et l'énergie. Microsoft explique que c'est la première fois qu'elle observe ce groupe utiliser le détournement DNS à cette échelle. Les routeurs compromis servent de base de surveillance passive. Forest Blizzard les utilise ensuite pour lancer des attaques plus ciblées contre les cibles jugées prioritaires.

Pour se protéger, Microsoft recommande de configurer des serveurs DNS de confiance et de maintenir les routeurs à jour. Activer l'authentification multifacteur sur tous les comptes sensibles reste également essentiel. Cette campagne rappelle qu'un simple routeur mal configuré peut devenir le maillon faible d'un réseau d'entreprise entier.