Comment une attaque AI-assistée a compromis plus de 600 appareils FortiGate dans 55 pays

Lysandre Beauchêne

Une menace invisible : plus de 600 FortiGate infiltrés en moins de deux mois

En 2026, historique du SSI 2026 plus de 600 dispositifs FortiGate ont été compromis dans 55 pays différents, le tout grâce à une chaîne d’attaque orchestrée par une intelligence artificielle générative. Cette situation illustre parfaitement comment des acteurs peu qualifiés peuvent désormais rivaliser avec des groupes bien financés en s’appuyant sur des outils d’IA. Dans cet article, nous décortiquons le mode opératoire, le rôle de l’IA à chaque étape, les impacts sur les victimes et, surtout, les mesures que vous pouvez mettre en place dès aujourd’hui.

Comprendre le mode opératoire de l’attaque AI-assistée

Exploitation des ports de gestion exposés

Le point d’entrée le plus fréquent a été les ports de gestion exposés (443, 8443, 10443 et 4443). Le groupe a lancé un balayage automatisé depuis l’adresse IP 212.11.64.250, ciblant chaque interface accessible depuis Internet. Une fois le port détecté, l’attaquant a tenté d’établir une connexion en utilisant des identifiants couramment réutilisés - souvent des combinaisons telles que “admin/admin” ou “admin/password”. Cette faiblesse de configuration a permis de franchir la première barrière sans aucune exploitation de vulnérabilité logicielle.

“Aucun exploit de vulnérabilité FortiGate n’a été observé ; la campagne a réussi grâce à des ports exposés et des identifiants faibles, un scénario que l’IA a pu automatiser à grande échelle Google bloque 175 M d’applications malveillantes”, explique le principal analyste de sécurité.

Utilisation de mots de passe faibles et authentification à facteur unique

L’attaque s’est appuyée sur l’authentification à facteur unique (single-factor authentication), une pratique encore répandue sur de nombreuses appliances. L’IA a généré des listes de combinaisons de mots de passe basées sur des fuites publiques et des schémas de création courants. En quelques minutes, les scripts IA pouvaient tester des milliers de paires utilisateur/mot de passe, augmentant ainsi la probabilité de succès. La négligence des politiques de mot de passe constitue donc la deuxième faille critique exploitable.

Rôle de l’intelligence artificielle dans chaque phase de l’intrusion

Génération d’outils et scripts automatisés

L’acteur a recours à deux outils d’IA générative distincts : le premier pour développer des scripts de scanning et d’authentification, le second comme secours pour le pivotement interne. Les scripts affichaient des caractéristiques typiques d’une génération IA : commentaires redondants, architecture simpliste et parsing naïf du JSON via des correspondances de chaînes. Cette démarche a permis d’économiser du temps de développement et d’obtenir un pipeline d’attaque quasi-automatisé.

Planification et pivotement au sein du réseau compromis

Après l’accès initial, l’IA a produit des plans d’attaque détaillés, incluant la cartographie du réseau à l’aide de Nuclei, la compromission d’Active Directory via des attaques DCSync, et le déplacement latéral via pass-the-hash et pass-the-ticket. Un deuxième outil d’IA a été déclenché lorsqu’une étape échouait, offrant une redondance qui a limité les pertes d’opération. Cette capacité de pivotement dynamique montre que même les acteurs peu expérimentés peuvent orchestrer des mouvements latéraux complexes grâce à l’IA.

Impacts constatés sur les organisations ciblées

Extraction de configurations et compromission d’Active Directory

Une fois les FortiGate accédés, les attaquants ont extrait les configurations complètes, révélant des informations sensibles : topologie réseau, listes d’utilisateurs, certificats SSL-VPN et clés privées. Ces données ont ensuite servi à compromettre les environnements Active Directory, permettant la récupération de bases d’identifiants complètes. Selon le rapport d’Amazon Threat Intelligence, plus de 30 % des organisations touchées ont vu leurs répertoires utilisateurs exposés.

Préparation d’une éventuelle opération ransomware

Les acteurs ont également ciblé les serveurs de sauvegarde Veeam, exploitant les vulnérabilités CVE-2023-27532 et CVE-2024-40711. En accédant aux sauvegardes, ils ont pu préparer une attaque ransomware de grande ampleur, avec la capacité de chiffrer les données critiques et d’exiger une rançon. Les preuves indiquent que plusieurs campagnes de ransomware ont été déclenchées peu après la phase de collecte de données.

“L’IA a permis à un acteur limité de franchir les étapes qui, auparavant, nécessitaient une équipe entière ; le résultat est un ensemble d’activités post-exploitation qui ressemblent à celles d’une opération APT”, souligne le responsable de la sécurité chez Amazon.

Mesures de défense essentielles pour contrer les attaques AI-assistées

Renforcement des interfaces de gestion

  1. Bloquer l’accès Internet aux ports de gestion (443, 8443, 10443, 4443) via des ACL ou des VPN dédiés.
  2. Restreindre les adresses IP autorisées à accéder aux interfaces d’administration.
  3. Mettre à jour le firmware FortiGate dès la publication des correctifs.

Gestion des identifiants et MFA

  • Éliminer les mots de passe par défaut et imposer des politiques de complexité.
  • Activer l’authentification multi-facteurs (MFA) pour tout accès administratif et VPN.
  • Faire tourner les mots de passe tous les 90 jours et désactiver les comptes inactifs.

Segmentation et isolation des sauvegardes

Mesure de sécuritéEfficacité contre l’attaque AI-assistée
Segmentation du réseau interneHaute - limite le pivotement latéral
Isolation des serveurs de sauvegardeTrès haute - empêche le chiffrement direct
Détection d’anomalies sur les logs APIMoyenne - nécessite une corrélation avancée
Utilisation de honeypots sur les portsHaute - attire les scans automatisés

Étapes actionnables pour votre organisation

  1. Auditer toutes les interfaces de gestion exposées et les mettre hors ligne.
  2. Déployer un gestionnaire d’identités centralisé avec MFA obligatoire.
  3. Implémenter une solution SIEM capable de détecter les comportements d’authentification anormaux.
  4. Former les équipes IT aux bonnes pratiques de credential hygiene et à la reconnaissance des indicateurs de compromission post-exploitation.
  5. Effectuer des tests de pénétration réguliers en incluant des scénarios d’IA-assistée.

Exemple de configuration JSON sécurisée (extrait)

Guide complet du BTS SIO option cybersécurité

{
  "firewall": {
    "management_interface": {
      "enabled": false,
      "allowed_ips": ["10.0.0.0/24"]
    },
    "admin_accounts": [
      {
        "username": "admin",
        "password_hash": "<hash-secure>",
        "mfa_enabled": true
      }
    ]
  }
}

Conclusion : Agir dès maintenant pour neutraliser la menace AI-assistée

L’essor des outils d’IA générative a abattu les barrières techniques qui protégeaient autrefois les réseaux modestes. En 2026, les acteurs financiers peu qualifiés peuvent orchestrer des campagnes d’envergure comparable à celles des APT grâce à l’automatisation intelligente. Cependant, les principes fondamentaux de la cybersécurité restent votre meilleure défense : gestion rigoureuse des accès, segmentation du réseau, mise à jour continue des équipements et détection proactive des comportements suspects. En appliquant les mesures décrites ci-dessus, vous réduirez significativement le risque d’être la prochaine victime d’une attaque AI-assistée sur FortiGate.