Imaginez : chaque fois que vous tapez l’adresse de votre messagerie professionnelle, vous êtes redirigé — sans le savoir — vers un faux site contrôlé par le renseignement militaire russe. Vos identifiants, vos e-mails, vos tokens d’authentification Microsoft 365… tout est aspiré en silence. C’est exactement ce qui est arrivé à des milliers d’entreprises et d’organisations dans 120 pays. Le 7 avril 2026, le FBI et le département de la Justice américain ont annoncé le démantèlement de l’opération FrostArmada, l’une des campagnes de cyberespionnage les plus sophistiquées jamais documentées.

FrostArmada : l’attaque invisible qui passait par votre routeur

Derrière cette opération se cache APT28, aussi connu sous les noms de Fancy Bear ou Forest Blizzard — un groupe directement rattaché à l’unité 26165 du GRU, le renseignement militaire russe. Leur méthode ? Exploiter des vulnérabilités connues sur des routeurs TP-Link et MikroTik — ces petits boîtiers qu’on trouve dans la plupart des bureaux de PME et des domiciles.

Pas besoin d’installer un malware. Les hackers modifiaient simplement les paramètres DNS du routeur pour que toutes les requêtes internet transitent par leurs propres serveurs. Concrètement, quand un employé tapait l’adresse de sa messagerie Outlook, le routeur compromis l’envoyait vers un serveur pirate qui imitait parfaitement le site légitime. Résultat : mots de passe, tokens OAuth et sessions d’authentification étaient capturés en temps réel, sans que la victime ne remarque quoi que ce soit.

« Le GRU a utilisé de manière prédatrice les réseaux des foyers et entreprises américains pour ses opérations cyber malveillantes. »— Département de la Justice des États-Unis

18 000 appareils compromis dans 120 pays

L’ampleur de l’opération est vertigineuse. Selon les chercheurs de Black Lotus Labs, sur une période d’un mois (décembre 2025 – janvier 2026), plus de 290 000 adresses IP distinctes ont envoyé au moins une requête DNS vers les serveurs pirates. À son pic en décembre 2025, FrostArmada a infecté 18 000 appareils à travers 120 pays, ciblant principalement des agences gouvernementales, des forces de l’ordre, des fournisseurs IT et d’hébergement.

Microsoft a confirmé avoir identifié plus de 200 organisations et 5 000 appareils grand public directement impactés par l’infrastructure DNS malveillante de Forest Blizzard.

Le plus inquiétant : l’attaque ciblait spécifiquement les domaines associés au service Microsoft 365, ainsi que les sous-domaines de Microsoft Outlook sur le web. Les hackers ont également visé des entités disposant de serveurs de messagerie on-premise et des organisations gouvernementales en Afrique du Nord, en Amérique centrale et en Asie du Sud-Est.

Comment le FBI a neutralisé l’opération

L’opération de démantèlement, baptisée « Operation Masquerade » et menée par le FBI (bureau de Boston), a permis de neutraliser la portion américaine du réseau — des routeurs compromis dans plus de 23 États.

L’intervention n’a pas affecté le fonctionnement normal des routeurs et n’a pas collecté de données des utilisateurs légitimes. Les utilisateurs peuvent restaurer eux-mêmes leurs appareils via un simple reset d’usine.

L’ironie de l’histoire ? L’activité de FrostArmada a explosé juste après la publication par le NCSC britannique, en août 2025, d’un rapport décrivant les outils de Forest Blizzard — les hackers ont adapté leur méthode et lancé une exploitation massive dès le lendemain de la publication.

Comment protéger votre PME dès maintenant

Vous utilisez un routeur TP-Link ou MikroTik au bureau ? Voici les mesures recommandées par le FBI, Microsoft et le NCSC :

  • Mettez à jour le firmware de votre routeur immédiatement. Si votre modèle ne reçoit plus de mises à jour, remplacez-le.
  • Vérifiez vos paramètres DNS : connectez-vous à l’interface d’administration de votre routeur et assurez-vous que les serveurs DNS configurés sont ceux de votre fournisseur d’accès ou d’un service de confiance (Cloudflare 1.1.1.1, Google 8.8.8.8).
  • Désactivez l’administration à distance si elle n’est pas strictement nécessaire.
  • Changez le mot de passe administrateur par défaut de votre routeur.
  • Implémentez le certificate pinning sur les appareils professionnels gérés via MDM (Mobile Device Management) : cela génère une alerte en cas de tentative d’interception.
  • Activez l’authentification multifacteur (MFA) sur tous vos comptes Microsoft 365 — même avec des identifiants volés, les hackers auront bien plus de mal à accéder à vos données.
  • Retirez tout équipement en fin de vie de votre réseau, qu’il soit personnel ou professionnel.

À retenir

  • Le renseignement militaire russe (GRU/APT28) a compromis 18 000 routeurs dans 120 pays pour intercepter des identifiants Microsoft 365 via du DNS hijacking.
  • Les routeurs TP-Link et MikroTik non mis à jour sont les principales cibles — aucun malware n’est nécessaire, seuls les paramètres DNS sont modifiés.
  • Le FBI a démantelé l’infrastructure américaine via l’opération Masquerade, mais la menace reste active ailleurs dans le monde.
  • Toute PME utilisant un routeur SOHO doit vérifier ses paramètres DNS, mettre à jour son firmware et activer la MFA sur ses services cloud.
  • Cette attaque montre qu’un simple routeur négligé peut devenir la porte d’entrée d’une opération d’espionnage à l’échelle mondiale.

Photo : Lucas Andrade via Pexels