Des pirates liés aux unités de renseignement militaire russes exploitent des failles connues dans les anciens routeurs Internet pour collecter massivement des jetons d'authentification auprès des utilisateurs de **Microsoft Office**, ont averti des experts en sécurité. La campagne d'espionnage a permis aux pirates russes soutenus par l'État de siphonner discrètement des jetons d'authentification auprès d'utilisateurs sur plus de 18 000 réseaux sans déployer de logiciel malveillant ou de code. **Microsoft** a déclaré avoir identifié plus de 200 organisations et 5 000 appareils grand public pris au piège dans un réseau d'espionnage furtif construit par **Forest Blizzard** dans un récent article de blog.  Également connu sous les noms d'APT28 et Fancy Bear, Forest Blizzard est attribué aux unités de renseignement militaire au sein de la Direction principale du renseignement de l'état-major général russe (GRU). APT 28 a notamment compromis la campagne d'Hillary Clinton, le Comité national démocrate et le Comité de campagne démocratique du Congrès en 2016. Des chercheurs de **Black Lotus Labs**, une division de sécurité du fournisseur d'infrastructure Internet **Lumen**, ont découvert qu'à son apogée en décembre 2025, la surveillance de Forest Blizzard avait touché plus de 18 000 routeurs Internet, principalement des routeurs obsolètes non pris en charge ou des appareils sans mises à jour de sécurité récentes. Les pirates ciblaient principalement des agences gouvernementales, notamment des ministères des affaires étrangères, des forces de l'ordre et des fournisseurs de messagerie tiers. **Ryan English**, ingénieur en sécurité chez Black Lotus, a expliqué que les pirates du GRU n'avaient pas besoin d'installer de malware sur les routeurs ciblés, qui étaient principalement d'anciens appareils **Mikrotik** et **TP-Link** commercialisés pour le marché des petites entreprises/bureaux à domicile (SOHO). Au lieu de cela, ils ont exploité des vulnérabilités connues pour modifier les paramètres du système de noms de domaine (DNS) des routeurs afin d'inclure des serveurs DNS contrôlés par les pirates. Le **National Cyber Security Centre** (NCSC) du Royaume-Uni a détaillé dans un nouvel avis comment des acteurs cybernétiques russes compromettent des routeurs. Le DNS permet aux individus d'accéder aux sites Web en tapant des adresses familières, au lieu des adresses IP associées. Dans une attaque de détournement de DNS, les acteurs malveillants interfèrent avec ce processus pour envoyer secrètement les utilisateurs vers des sites Web malveillants conçus pour voler des identifiants de connexion ou d'autres informations sensibles. English a déclaré que les routeurs attaqués par Forest Blizzard avaient été reconfigurés pour utiliser des serveurs DNS qui pointaient vers des serveurs privés virtuels contrôlés par les attaquants. Les attaquants pouvaient alors propager leurs paramètres DNS malveillants à tous les utilisateurs du réseau local, et à partir de ce moment-là intercepter tous les jetons d'authentification OAuth transmis par ces utilisateurs.  Étant donné que ces jetons ne sont généralement transmis qu'après que l'utilisateur se soit connecté avec succès et ait passé l'authentification multifacteur, les attaquants pouvaient accéder directement aux comptes des victimes sans avoir à faire de phishing pour les identifiants et/ou les codes à usage unique de chaque utilisateur. « Tout le monde cherche un malware sophistiqué pour déposer quelque chose sur vos appareils mobiles ou autre », a déclaré English. « Ces gars n'ont pas utilisé de malware. Ils ont fait cela à l'ancienne, à la manière des vieux briscards, ce qui n'est pas vraiment sexy mais fait le travail. » Microsoft qualifie l'activité de Forest Blizzard d'utilisation du détournement de DNS « pour soutenir des attaques adverses dans le milieu (AiTM) post-compromission sur des connexions Transport Layer Security (TLS) contre les domaines de Microsoft Outlook sur le Web ». Le géant du logiciel a déclaré que, bien que le ciblage des appareils SOHO ne soit pas une nouvelle tactique, c'est la première fois que Microsoft voit Forest Blizzard utiliser le « détournement de DNS à grande échelle pour soutenir l'AiTM des connexions TLS après avoir exploité des périphériques de périphérie ». **Danny Adamitis**, ingénieur chez Black Lotus Labs, a déclaré qu'il sera intéressant de voir comment Forest Blizzard réagira à la vague d'attention portée aujourd'hui à leur opération d'espionnage, notant que le groupe a immédiatement modifié ses tactiques en réponse à un rapport similaire du **NCSC** en août 2025. À l'époque, Forest Blizzard utilisait des malwares pour contrôler un groupe beaucoup plus ciblé et plus petit de routeurs compromis. Mais Adamitis a déclaré que le lendemain du rapport du NCSC, le groupe a rapidement abandonné l'approche par malware au profit de la modification massive des paramètres DNS sur des milliers de routeurs vulnérables. « Avant la sortie du dernier rapport du NCSC, ils utilisaient cette capacité dans des cas très limités », a déclaré Adamitis à KrebsOnSecurity. « Après la publication du rapport, ils ont mis en œuvre la capacité de manière plus systématique et l'ont utilisée pour cibler tout ce qui était vulnérable. » TP-Link figurait parmi les fabricants de routeurs potentiellement interdits aux États-Unis. Mais le 23 mars, la **U.S. Federal Communications Commission** (FCC) a adopté une approche beaucoup plus large, annonçant qu'elle ne certifierait plus les routeurs Internet de qualité grand public produits en dehors des États-Unis. La FCC a averti que les routeurs fabriqués à l'étranger représentaient une menace intenable pour la sécurité nationale, et que les routeurs mal sécurisés présentaient « un risque de cybersécurité grave qui pourrait être exploité pour perturber immédiatement et gravement les infrastructures critiques américaines et nuire directement aux personnes américaines ». Des experts ont répliqué que peu de nouveaux routeurs de qualité grand public seraient disponibles à l'achat dans le cadre de cette nouvelle politique de la FCC (à l'exception peut-être des routeurs Internet par satellite de Starlink de Musk, qui sont produits au Texas). La FCC affirme que les fabricants de routeurs peuvent demander une « approbation conditionnelle » spéciale auprès du ministère de la Guerre ou du ministère de la Sécurité intérieure, et que la nouvelle politique n'affecte aucun routeur de qualité grand public déjà acheté.