Les services de renseignement allemands ont formellement identifié une vaste campagne de cyberattaques attribuée aux hackers russes du groupe APT28, ciblant plusieurs milliers de routeurs Wi-Fi à travers l’Europe. Selon le Bundesamt für Verfassungsschutz (BfV), l’office fédéral de protection de la constitution, environ trente appareils en Allemagne ont été compromis, sur un total de plusieurs milliers d’équipements TP-Link infiltrés dans divers pays. L’objectif des intrusions était l’exfiltration d’informations militaires et gouvernementales sensibles, ainsi que de données relatives aux infrastructures critiques.
Une méthode sophistiquée pour intercepter des données sensibles
Les cybercriminels ont exploité des vulnérabilités connues dans des routeurs domestiques et de petite entreprise, souvent mal configurés ou obsolètes. Après avoir pris le contrôle à distance des appareils, ils ont redirigé le trafic internet des utilisateurs via un réseau de serveurs DNS sous leur contrôle. Cette manœuvre, dite d’« empoisonnement DNS », leur a permis d’intercepter en temps réel les identifiants de connexion, les mots de passe, les jetons d’authentification et les communications électroniques. Les informations collectées étaient ensuite vraisemblablement utilisées pour monter des campagnes de phishing ciblé contre des institutions étatiques et des entreprises stratégiques.
Cette modus operandi n’est pas nouvelle. Déjà début mars, une coalition internationale de services de sécurité incluant les États-Unis, l’Ukraine et plusieurs pays de l’UE avait révélé une opération similaire visant des routeurs en Ukraine et chez des citoyens étrangers. Les experts y voient la transposition, sur le sol européen, de tactiques éprouvées dans le cadre de la guerre contre l’Ukraine. Le but avéré est de saper la confiance dans les infrastructures numériques et de créer un sentiment d’insécurité permanent.
APT28, un bras armé du renseignement militaire russe
L’implication du groupe APT28, également connu sous le nom de Fancy Bear, est significative. Cette entité est depuis longtemps associée à la direction principale de l’état-major général des forces armées russes (GU), le service de renseignement militaire. Ses activités ne se limitent pas à l’espionnage classique mais visent délibérément à affaiblir les institutions démocratiques, à influencer l’opinion publique et à éroder le soutien occidental à Kyiv. La qualification d’« opération étatique » est donc sans équivoque pour les autorités allemandes.
Le BfV et d’autres agences européennes ont déjà à plusieurs reprises incriminé l’APT28 dans des attaques majeures. Le groupe est notamment soupçonné d’être derrière le piratage du Bundestag en 2015, des attaques contre les systèmes de contrôle aérien allemands et des campagnes de déstabilisation visant des partis politiques. La fréquence et l’audace de ces opérations se sont accentuées depuis le début de l’invasion à grande échelle de l’Ukraine en février 2022, marquant une escalade dans la dimension hybride du conflit.
Un signal d’alarme pour la sécurité collective européenne
Pour Berlin et ses partenaires européens, ces attaques constituent bien plus qu’une simple affaire d’espionnage. Elles représentent une composante d’une guerre hybride plus large, où Moscou utilise tous les leviers non militaires – cyberattaques, sabotage, drones de surveillance, désinformation – pour déstabiliser les pays soutenant l’Ukraine. L’objectif stratégique est de paralyser la capacité de décision, de menacer les infrastructures essentielles (énergie, transport, communications) et d’instiller un sentiment de vulnérabilité chez les citoyens et les entreprises.
Face à cette menace persistante, les recommandations des experts en cybersécurité sont claires : les particuliers et les organisations doivent mettre à jour régulièrement les micrologiciels de leurs routeurs, utiliser des mots de passe complexes, activer l’authentification à deux facteurs et surveiller toute activité réseau suspecte. Plus structurellement, les pays de l’UE et de l’OTAN sont appelés à intensifier la coordination entre leurs services de renseignement et leurs équipes de réponse aux incidents informatiques (CSIRT). Seule une réponse collective et agile permettra de détecter, contrer et neutraliser rapidement ce type d’offensive, qui fait désormais du cyberespace un champ de bataille central de la confrontation géopolitique contemporaine.
