La nouvelle est tombée avec la délicatesse d’un missile Kalibr : des centaines de milliers de routeurs domestiques, principalement en Europe, ont été transformés en armée de zombies par le GRU, les services de renseignement militaires russes. La cible ? Des appareils en fin de vie, abandonnés par leurs fabricants et leurs opérateurs, laissés en pâture dans 120 pays. Une opération de piratage à l’échelle industrielle, rendue possible non par une faille zero-day, mais par la négligence organisée de toute une filière.
La grande braderie de la sécurité souveraine
Ne cherchez pas de hackers géniaux. L’exploit du GRU, révélé par un consortium d’agences de cybersécurité occidentales, tient du simple constat d’évidence : si vous laissez la porte grande ouverte, quelqu’un finira par entrer. Les appareils visés — des vieux routeurs Netgear, des box obsolètes de SFR, Orange ou ASUS — n’avaient plus reçu de mise à jour de sécurité depuis des années. Leurs fabricants avaient tourné la page, leurs opérateurs avaient changé de catalogue. Le GRU, lui, a juste fait l’inventaire.
Le modèle économique du ‘patch and forget’
Le cœur du scandale n’est pas l’ingéniosité russe, mais le modèle économique mortifère de l’industrie tech. Vendre du hardware avec un support logiciel limité dans le temps, puis passer à autre chose. Le consommateur paie pour un produit, pas pour une sécurité pérenne. Le résultat ? Un parc mondial de plusieurs millions d’appareils connectés, vulnérables par conception, constituant une ‘surface d’attaque’ idéale pour des acteurs étatiques. La FSB n’a pas hacké Internet. Elle a juste ramassé les clés que l’industrie avait laissées sous le paillasson.
Qui regarde à travers votre caméra ?
L’objectif de l’opération, nommée de code ‘Dying Gasp’, n’était pas le vol de données bancaires. Il s’agissait de constituer un réseau proxy mondial, invisible, pour mener des opérations de renseignement, déstabiliser des infrastructures, ou préparer le terrain à des cyberattaques plus larges. Votre vieille box, devenue nœud d’un botnet militaire, a peut-être servi à attaquer un hôpital en Ukraine ou à espionner une entreprise en Pologne. Le propriétaire du routeur ? Une simple ressource consommable, jamais informée, jamais alertée.
Le silence complice des opérateurs
Où étaient Free, Bouygues et consorts pendant ce temps ? Silencieux. Aucune campagne massive de remplacement, aucune notification urgente aux clients équipés de ces cercueils numériques. La logique est simple : le coût d’une opération de sécurisation excède le risque juridique et l’atteinte à l’image. Tant que le routeur ‘fonctionne’ (c’est-à-dire diffuse un WiFi bancal), la facture continue de tomber. La sécurité est un centre de coût. La négligence, un centre de profit.
Conclusion : Vous êtes le produit… et le bouclier humain
Cette affaire n’est pas un incident de cybersécurité. C’est la révélation d’un contrat social rompu. L’industrie vend des objets connectés sans assumer leur cycle de vie complet. Les États tolèrent cette bombe à retardement dans des millions de foyers. Le citoyen, lui, paie un abonnement pour héberger, à son insu, un outil de guerre hybride. La prochaine fois que votre box rame, posez-vous la question : est-ce le trafic P2P du voisin, ou les paquets de données du GRU qui transitent par votre salon pour aller bombarder une infrastructure critique ? Bonne nuit.