Le FBI démantèle le réseau de routeurs utilisé par le GRU russe pour du détournement DNS

Le FBI et le DOJ démantelèrent un réseau de routeurs du renseignement militaire russe

Le département de la Justice américain et le FBI ont annoncé le 7 avril 2026 avoir mené à bien une opération autorisée par un tribunal visant à neutraliser un réseau de routeurs compromis utilisés par une unité au sein du Directoire principal du renseignement russe, plus connu sous le nom de GRU. L'opération ciblait des milliers de routeurs destinés aux petits bureaux et aux domiciles (SOHO) qui avaient été discrètement détournés afin de mener des attaques de détournement DNS contre des individus et des organisations évoluant dans les secteurs militaire, gouvernemental et des infrastructures critiques.

L'ampleur et la méthode de cette opération offrent un aperçu limpide de la façon dont des acteurs soutenus par des États exploitent du matériel grand public négligé pour mener des campagnes sophistiquées de collecte de renseignements.

Comment l'attaque de détournement DNS a fonctionné

L'unité du GRU a exploité des vulnérabilités connues dans les routeurs TP-Link, une marque couramment présente dans les foyers et les petites entreprises du monde entier. Une fois à l'intérieur d'un appareil, les attaquants manipulaient ses paramètres DNS. Le DNS, ou système de noms de domaine, est le processus qui traduit une adresse de site web telle que « exemple.com » en adresse IP numérique que les ordinateurs utilisent pour se connecter. Il fonctionne, en substance, comme l'annuaire de l'internet.

En modifiant les paramètres DNS des routeurs compromis, le GRU était en mesure de rediriger le trafic via des serveurs qu'il contrôlait, à l'insu total du propriétaire de l'appareil. Cette technique est connue sous le nom d'attaque de l'acteur du milieu. Lorsque les victimes tentaient de visiter des sites web légitimes ou de se connecter à leurs comptes, leurs requêtes étaient silencieusement réacheminées. Une grande partie de ce trafic n'étant pas chiffrée, les attaquants pouvaient collecter des mots de passe, des jetons d'authentification et du contenu d'e-mails en clair.

Les victimes n'avaient pas nécessairement commis la moindre erreur. Elles utilisaient leurs routeurs habituels et visitaient des sites web ordinaires. L'attaque se produisait au niveau de l'infrastructure, en dehors du champ de visibilité de la plupart des utilisateurs et même de nombreuses équipes informatiques.

Pourquoi les routeurs SOHO constituent une cible persistante

Les routeurs de petits bureaux et de domiciles sont devenus un point d'entrée privilégié pour les acteurs malveillants sophistiqués, et ce pour plusieurs raisons. Ils sont nombreux, souvent mal entretenus et rarement surveillés. Les mises à jour du micrologiciel des routeurs grand public sont peu fréquentes, et beaucoup d'utilisateurs ne changent jamais les identifiants par défaut ni ne vérifient les paramètres de l'appareil après la configuration initiale.

Ce n'est pas la première fois que le FBI a dû intervenir pour nettoyer des réseaux de routeurs compromis. Des opérations similaires ont ciblé des infrastructures de botnets au cours des années précédentes, impliquant du matériel de plusieurs fabricants. La persistance de ce vecteur d'attaque reflète un problème structurel : les routeurs se trouvent à la frontière de chaque réseau, mais reçoivent bien moins d'attention en matière de sécurité que les appareils qui se trouvent derrière eux.

L'opération autorisée par un tribunal menée par le département de la Justice impliquait la modification à distance des routeurs compromis afin de couper l'accès du GRU et de supprimer les configurations malveillantes. Ce type d'intervention est rare et nécessite une approbation judiciaire, ce qui témoigne du sérieux avec lequel les autorités américaines ont considéré cette menace.

Ce que cela signifie pour vous

Si vous utilisez un routeur grand public à votre domicile ou dans un petit bureau, cette opération est un signal clair que votre matériel peut devenir un élément d'une opération de renseignement à votre insu et sans votre participation. L'attaque n'a pas nécessité que les victimes cliquent sur un lien malveillant ou téléchargent quoi que ce soit. Il a suffi que leur routeur exécute un micrologiciel vulnérable et que leur trafic internet transite par celui-ci sans chiffrement.

Il existe des mesures concrètes à prendre en réponse à cette actualité.

Premièrement, vérifiez si des mises à jour du micrologiciel sont disponibles pour votre routeur et installez-les. Les fabricants de routeurs corrigent régulièrement les vulnérabilités connues, mais ces correctifs ne sont utiles que s'ils sont installés. De nombreux routeurs permettent d'activer les mises à jour automatiques via leur interface de paramètres.

Deuxièmement, modifiez les identifiants de connexion par défaut de votre routeur. Un grand nombre d'appareils compromis dans des opérations comme celle-ci sont accessibles à l'aide de noms d'utilisateur et de mots de passe d'usine qui sont publiquement documentés.

Troisièmement, réfléchissez à ce à quoi ressemble votre trafic internet lorsqu'il quitte votre routeur. Le trafic non chiffré — qu'il s'agisse de connexions HTTP, de certains protocoles de messagerie ou de communications d'applications spécifiques — peut être lu si votre DNS est redirigé. L'utilisation de protocoles DNS chiffrés tels que DNS-over-HTTPS (DoH) ou DNS-over-TLS (DoT) garantit que vos requêtes DNS elles-mêmes ne peuvent pas être interceptées ou manipulées par un routeur compromis ou un serveur par lequel il achemine le trafic.

Quatrièmement, un VPN peut fournir une couche de protection supplémentaire en chiffrant le trafic entre votre appareil et un serveur de confiance avant même qu'il n'atteigne votre routeur ou votre fournisseur d'accès à internet. Cela signifie que même si le DNS de votre routeur a été altéré, le contenu de votre trafic demeure illisible pour quiconque se positionnerait entre vous et votre destination.

Aucune de ces mesures n'est complexe ou coûteuse, mais l'opération du GRU démontre clairement que le trafic non chiffré et le matériel non mis à jour créent une véritable exposition pour de vraies personnes — et pas seulement un risque abstrait.

L'intervention du FBI a neutralisé ce réseau particulier, mais les vulnérabilités sous-jacentes du matériel de routeurs grand public demeurent. Rester informé et prendre des mesures de protection élémentaires constitue la réponse la plus pragmatique face à une surface d'attaque qui ne risque pas de disparaître.