Comment une attaque AI-assistée a compromis plus de 600 appareils FortiGate dans 55 pays
Hippolyte Valdegré
Attaque AI-assistée : un nouveau défi pour la sécurité des appliances FortiGate
En 2026, plus de 600 FortiGate ont été infiltrés dans 55 pays, non pas grâce à une vulnérabilité logicielle inconnue, mais grâce à une attaque AI-assistée qui a exploité les ports de gestion exposés et des identifiants faibles. Cette situation met en lumière la manière dont l’intelligence artificielle générative transforme les cybermenaces, en offrant aux acteurs modestement qualifiés une capacité d’échelle autrefois réservée aux groupes APT.
« L’IA a permis à un acteur peu sophistiqué d’atteindre un niveau d’opération qui aurait auparavant requis une équipe beaucoup plus grande », affirme CJ Moses, CISO d’Amazon Integrated Security.
« Nous observons une tendance où les outils d’IA deviennent une chaîne de montage pour le cybercrime », indique le même rapport. Google bloque 175 million d’applications malveillantes – comment l’IA renforce la sécurité du Play Store
Contexte de la campagne et rôle de l’IA
Profil du cybercriminel
Le groupe identifié parle couramment le russe, est motivé financièrement et possède des compétences techniques limitées. Dans la pratique, il a compensé ce déficit en s’appuyant sur plusieurs services d’IA générative pour automatiser la rédaction de scripts, la génération de commandes et la planification d’attaques. Ce recours à l’IA n’est pas anodin : il réduit le temps de développement de chaque étape de l’attaque de plusieurs heures à quelques minutes.
Utilisation des services d’IA générative
Deux outils d’IA distincts ont été mobilisés : le premier, principal, a servi à créer les scripts de scanning et à générer les listes d’identifiants à tester ; le second, en mode secours, a aidé à pivot au sein d’un réseau déjà compromis. Les noms de ces outils restent confidentiels, mais leur fonction a été clairement décrite dans les artefacts récupérés : plans d’attaque, configurations de cibles et code source.
Méthodologie de l’attaque
Scanning des ports de gestion exposés
Les attaquants ont mené un scan systématique des interfaces de gestion FortiGate accessibles depuis Internet, ciblant les ports 443, 8443, 10443 et 4443. Un exemple de commande :
nmap -p 443,8443,10443,4443 -sV -Pn -T4 0.0.0.0/0 --open
Cette étape a permis d’identifier plus de 12 000 adresses IP présentant un port ouvert, dont 212.11.64[.]250 a été identifié comme source principale du trafic de scanning.
Exploitation des identifiants faibles
L’attaque AI-assistée a ensuite tenté d’authentifier en utilisant des identifiants couramment réutilisés (admin/admin, admin/password, etc.). L’IA a généré automatiquement des combinaisons basées sur des fuites de mots-de-passe publiques, augmentant le taux de succès à ≈ 18 % des tentatives, selon Amazon Threat Intelligence.
Post-exploitation automatisée
Une fois l’accès obtenu, les acteurs ont déployé un outil de reconnaissance écrit en Go et Python. L’analyse du code a révélé des « commentaires redondants qui répètent simplement le nom des fonctions », signe caractéristique d’une génération assistée par IA. Les actions suivantes ont été automatisées :
- Extraction de la configuration complète du FortiGate ;
- Harvesting des certificats et des clés privées ;
- Propagation vers les contrôleurs Active Directory via des attaques DCSync ;
- Mouvement latéral avec pass-the-hash, pass-the-ticket et NTLM relay ;
- Ciblage des serveurs de sauvegarde Veeam (CVE-2023-27532, CVE-2024-40711).
Impacts observés et données chiffrées
Étendue géographique
Les compromissions ont touché des organisations situées en Asie du Sud, Amérique latine, Caraïbes, Afrique de l’Ouest, Europe du Nord et Asie du Sud-Est. Cette répartition montre que l’attaque AI-assistée n’est pas sectorielle : elle a ciblé tout type d’entité disposant d’une interface de gestion exposée.
Types de données compromises
- Configurations réseau complètes (topologie, règles de pare-feu) ;
- Bases d’identifiants (hashes NTLM, mots-de-passe en clair) ;
- Sauvegardes chiffrées exploitées pour préparer un ransomware.
Selon le rapport ENISA 2025, 92 % des compromissions de pare-feu proviennent de mauvaises pratiques d’authentification. Cette statistique corrobore l’observation selon laquelle l’attaque AI-assistée a surtout profité d’une authentification à facteur unique insuffisante.
Mesures de défense recommandées
Renforcement des interfaces de gestion
- Bloquer l’accès Internet aux ports de gestion (443, 8443, 10443, 4443) via des ACLs ;
- Activer le filtrage d’accès basé sur les adresses IP légitimes ;
- Déployer des certificats TLS avec rotation régulière.
Hygiène des identifiants et MFA
- Supprimer les comptes par défaut et les mots-de-passe génériques ;
- Imposer une politique de mots-de-passe complexes (minimum 12 caractères, mélange de caractères) ;
- Mettre en œuvre l’authentification multifacteur (MFA) pour tout accès administratif et VPN. Guide complet du logo SSI
Segmentation et surveillance
- Isoler les serveurs de sauvegarde du réseau de production ;
- Appliquer la segmentation micro-perimétrique pour limiter les mouvements latéraux ;
- Déployer des solutions de détection d’anomalies (SIEM, EDR) capables d’identifier les commandes générées par IA (ex. patterns de syntaxe inhabituels).
Tableau comparatif des pratiques de sécurité
| Pratique actuelle | Bonnes pratiques recommandées | Niveau de risque (1-5) |
|---|---|---|
| Ports de gestion exposés | Port cloisonnés, accès VPN uniquement | 5 |
| Identifiants par défaut | Mots-de-passe uniques + MFA | 4 |
| Sauvegardes non segmentées | Isolation réseau + chiffrement | 3 |
| Détection basique d’incidents | SIEM + UEBA + détection IA-assistée | 2 |
| Patch management irrégulier | Mise à jour automatisée mensuelle | 1 |
Mise en œuvre d’une stratégie de résilience face aux attaques AI-assistées
- Audit initial : recenser tous les appareils FortiGate, vérifier les ports ouverts et les comptes actifs.
- Plan de remédiation : appliquer les mesures listées ci-dessus, en priorisant la fermeture des ports publics et le déploiement du MFA.
- Formation du personnel : sensibiliser les administrateurs aux risques liés à l’attaque AI-assistée, notamment la tentation d’utiliser des scripts générés automatiquement sans revue de code. BTS SIO option cybersécurité – guide complet et débouchés 2026
- Surveillance continue : mettre en place des règles de corrélation qui détectent les tentatives de connexion provenant d’adresses IP suspectes (ex. 212.11.64[.]250) et les comportements de scripts « naïfs » (JSON parsé via string matching).
- Réévaluation périodique : chaque trimestre, tester la robustesse des contrôles avec des simulations d’attaque AI-assistée afin d’ajuster les défenses.
« Les fondamentaux de la défense restent la meilleure protection », rappelle CJ Moses ; « une gestion rigoureuse des correctifs, une hygiène des identifiants et une segmentation efficace sont indispensables pour contrer les menaces AI-assistées en 2026 ».
Conclusion - Prochaine action
L’attaque AI-assistée qui a touché plus de 600 FortiGate démontre que l’intelligence artificielle n’est plus un simple outil d’aide, mais un multiplicateur de capacité pour les acteurs malveillants. En renforçant les interfaces de gestion, en appliquant une hygiène stricte des identifiants et en adoptant une segmentation réseau robuste, vous neutralisez le levier principal exploité par ces campagnes.
Nous vous invitons dès aujourd’hui à lancer un audit complet de vos appliances FortiGate, à déployer le MFA pour chaque compte administratif et à bloquer tout accès non-autorisé aux ports de gestion. Ces actions concrètes vous placeront en première ligne de défense contre la prochaine vague d’attaques AI-assistées.