AI-assisted threat actor compromises FortiGate devices : Analyse approfondie et mesures de défense

Célestine Rochefour

Le danger imminent des appareils FortiGate exposés à l’AI-assisted threat actor

En 2026, plus de 600 appliances FortiGate ont été compromis dans 55 pays, révélant la première utilisation massive d’une intelligence artificielle générative comme accélérateur d’une campagne cybercriminelle. Selon le rapport d’Amazon Threat Intelligence, l’activité s’est déroulée du 11 janvier au 18 février 2026, ciblant des ports de gestion mal protégés et des identifiants faibles. Selon Google bloque les applications malveillantes. Comment un acteur aux compétences limitées a-t-il pu atteindre une telle échelle ? La réponse réside dans la combinaison d’une automatisation IA, d’une mauvaise hygiène des mots de passe et d’une exposition d’infrastructures critiques. Cet article décortique la menace, détaille les techniques employées, évalue les impacts et propose un plan d’action concret pour sécuriser vos appliances. Pour en savoir plus sur le historique du logo SSI.

Comprendre la campagne d’AI-assisted threat actor

Contexte et portée de l’attaque

Le groupe identifié comme AI-assisted threat actor est constitué d’individus ou de petites équipes motivées par le gain financier, sans liens avérés avec un APT étatique. Leur principal avantage réside dans l’usage de services d’IA générative commercialisés - des modèles de langage capables de produire du code, de rédiger des scripts d’exploitation et de planifier des attaques en quelques minutes. Aucun exploit de vulnérabilité FortiGate n’a été détecté ; les attaquants ont exploité des ports de gestion exposés (443, 8443, 10443, 4443) et des identifiants réutilisés pour pénétrer les systèmes.

Motivations et profil de l’attaquant

Les enquêteurs d’Amazon soulignent que l’acteur est financièrement motivé, cherchant à monétiser les accès obtenus via le vol de configurations, de credentials et de données de sauvegarde. Le recours à l’IA a permis de combler le fossé technique : comme le précise CJ Moses, CISO d’Amazon Integrated Security, « Ils sont probablement un individu ou un petit groupe qui, grâce à l’augmentation IA, a atteint une échelle opérationnelle qui aurait auparavant requis une équipe beaucoup plus grande et plus compétente ». Cette dynamique montre que les capacités jadis réservées aux groupes sophistiqués deviennent accessibles aux acteurs moins expérimentés.

« No exploitation of FortiGate vulnerabilities was observed-instead, this campaign succeeded by exploiting exposed management ports and weak credentials with single-factor authentication, fundamental security gaps that AI helped an unsophisticated actor exploit at scale » - CJ Moses, Amazon Integrated Security.

Techniques d’exploitation employées

Exposition des ports de gestion et collecte d’informations

Les attaquants ont d’abord réalisé un scan automatisé des adresses IP publiques à la recherche de FortiGate répondant sur les ports mentionnés. Le trafic provenait majoritairement de l’adresse 212.11.64[.]250, indiquant une source centralisée de balayage. Une fois le port détecté, ils ont tenté une authentification par force brute en utilisant des listes de mots de passe communs et des combinaisons par défaut. Cette phase a été orchestrée par un outil d’IA générative qui a généré les scripts de connexion et les a adaptés en temps réel aux réponses du serveur.

Utilisation de l’IA générative pour l’automatisation

Le cœur de la campagne repose sur deux modèles d’IA : le premier, principal, a produit les scripts de scanning, les payloads et les commandes de récupération de configuration ; le second, de secours, a assisté le pivotement au sein du réseau compromis. Les scripts générés présentaient des caractéristiques typiques d’une développement assisté par IA : commentaires redondants, architecture simpliste, parsing JSON via correspondance de chaînes au lieu de désérialisation robuste, et shim de compatibilité vide. Ce style de codage indique clairement une dépendance à l’IA pour combler le manque d’expertise technique.

// Exemple de parsing JSON naïf généré par IA
func parseConfig(data string) map[string]string {
    // Extraction simple par recherche de patterns
    result := make(map[string]string)
    for _, line := range strings.Split(data, "\n") {
        if strings.Contains(line, "username") {
            parts := strings.Split(line, ":")
            if len(parts) == 2 {
                result["username"] = strings.TrimSpace(parts[1])
            }
        }
    }
    return result
}

Processus de compromission pas à pas

  1. Scanning : balayage des plages d’IP publiques à la recherche de ports 443/8443/10443/4443.
  2. Brute-force : tentative d’accès avec des credentials courants (admin/admin, admin/password).
  3. Extraction : récupération de la configuration complète du FortiGate, contenant clés, certificats et topologie réseau.
  4. Escalade : utilisation des informations pour compromettre l’Active Directory via des attaques DCSync.
  5. Pivot : déplacement latéral grâce à pass-the-hash, pass-the-ticket et exploitation de serveurs de sauvegarde Veeam (CVE-2023-27532, CVE-2024-40711).
  6. Ransomware : préparation du déploiement de ransomware en ciblant les backups et les données critiques.

« Following VPN access to victim networks, the threat actor deploys a custom reconnaissance tool, with different versions written in both Go and Python » - Amazon Threat Intelligence.

Impacts opérationnels et risques pour les organisations

Exfiltration de configurations et compromission d’identifiants

La fuite des configurations FortiGate expose les secrets d’authentification (certificats, clés API) ainsi que la topologie complète du réseau. Cette visibilité permet aux attaquants de planifier des mouvements latéraux précis, d’orchestrer des attaques pass-the-hash et d’accéder aux systèmes critiques sans déclencher d’alarmes. En moyenne, les organisations touchées ont constaté une augmentation de 42 % du temps de détection des incidents post-exploitation, selon le rapport ENISA 2025.

Escalade vers Active Directory et ransomware

Une fois l’Active Directory compromis, les cybercriminels peuvent déployer des outils de récolte de credentials, exfiltrer des bases d’utilisateurs et préparer le terrain pour un ransomware. Le ciblage des serveurs Veeam, mentionné dans le rapport d’Amazon, souligne la volonté d’interférer avec les sauvegardes, rendant la récupération des données plus difficile pour les victimes.

Conséquences concrètes pour les entreprises

  • Perte de disponibilité des services réseau pendant la remédiation.
  • Coûts de récupération estimés à entre 150 000 € et 500 000 € selon le secteur (source : Gartner 2025).
  • Atteinte à la réputation et conformité RGPD en cas de fuite de données personnelles.
  • Augmentation du risque de sanctions administratives pour non-respect des exigences de sécurité des périphériques d’infrastructure.

Mesures de défense recommandées

Mesure de sécuritéDescriptionNiveau d’efficacité*
MFA pour l’accès adminImplémenter une authentification à plusieurs facteurs sur toutes les interfaces de gestion.★★★★★
Gestion du cycle de vie des certificatsRenouveler régulièrement les certificats et révoquer ceux non utilisés.★★★★☆
Segmentation réseauIsoler les appliances FortiGate du trafic Internet public via des DMZ contrôlées.★★★★★
Hardening des portsFermer ou filtrer les ports 443/8443/10443/4443 en dehors des besoins opérationnels.★★★★☆
Rotation régulière des mots de passeAppliquer des politiques de complexité et de rotation fréquente pour les comptes admin.★★★★☆
Détection d’anomalies IADéployer des solutions SIEM capables d’identifier des comportements générés par IA (ex. scripts similaires, modèles de requêtes).★★★★☆

*Échelle de 1 à 5 étoiles, basée sur les recommandations de l’ANSSI et les retours d’expérience 2025-2026.

Bonnes pratiques opérationnelles

  • Auditer quotidiennement les interfaces de gestion exposées à Internet.
  • Appliquer les correctifs dès leur disponibilité, même si aucune vulnérabilité directe n’est détectée ; cela réduit la surface d’attaque.
  • Mettre en place une hygiène des credentials : interdiction des mots de passe par défaut, utilisation de gestionnaires de secrets. Pour plus d’informations, consultez le guide complet BTS services informatiques.
  • Surveiller les logs pour détecter des tentatives de connexion inhabituelles sur les ports de gestion.
  • Isoler les serveurs de sauvegarde du réseau de production et appliquer le principe du moindre privilège.

Mise en œuvre - étapes actionnables

  1. Inventorier toutes les appliances FortiGate et identifier les interfaces publiques.
  2. Bloquer immédiatement les ports de gestion non indispensables via des listes de contrôle d’accès (ACL) ou des firewalls périmétriques.
  3. Déployer la MFA sur les comptes administratifs et VPN en suivant le guide ANSSI « Gestion sécurisée des accès privilégiés ».
  4. Renforcer les mots de passe : générer des secrets aléatoires de 16 caractères, interdire la réutilisation.
  5. Mettre à jour le firmware FortiOS vers la version la plus récente, en appliquant les correctifs de sécurité publiés en 2025-2026.
  6. Implémenter la segmentation en créant des zones DMZ séparées pour les appliances exposées.
  7. Déployer un SIEM capable d’analyser les journaux de connexion et de détecter les modèles d’attaque générés par IA.
  8. Effectuer des tests de pénétration ciblant spécifiquement les ports de gestion et les scénarios d’authentification à facteur unique.
  9. Former le personnel aux bonnes pratiques de gestion des identifiants et à la reconnaissance des indicateurs de compromission (IOC).
  10. Documenter chaque modification dans un registre de conformité afin de faciliter les audits RGPD et ISO 27001.

Conclusion - Prochaine action pour sécuriser vos FortiGate

En 2026, l’AI-assisted threat actor a démontré que la combinaison d’une exposition d’infrastructure et d’une IA générative suffit à transformer un acteur peu qualifié en une menace de grande envergure. La meilleure défense demeure une approche en profondeur : fermeture des ports publics, MFA, rotation des mots de passe, segmentation réseau et surveillance continue. Nous vous invitons à lancer dès aujourd’hui l’inventaire de vos appliances FortiGate, à mettre en place la MFA et à planifier un audit de sécurité complet. En adoptant ces mesures, vous réduirez considérablement le risque d’être la prochaine victime d’une campagne d’IA-assisted cybercrime.