Comment l'attaque IA sur FortiGate a compromis plus de 600 appareils dans 55 pays
Aurélien Fontevive
La menace IA qui s’est emparée de plus de 600 FortiGate en 2026
En 2026, une attaque IA sur FortiGate a surpris le secteur de la cybersécurité : plus de six cents appliances, réparties dans 55 pays, ont été compromises en moins d’un mois. Selon le rapport d’Amazon Threat Intelligence, l’activité a été observée du 11 janvier au 18 février 2026, révélant comment un acteur peu expérimenté, mais doté d’outils d’intelligence artificielle générative, a pu franchir des gaps de sécurité fondamentaux. Ce phénomène illustre la façon dont l’IA réduit la barrière d’entrée pour les cybercriminels, même les plus modestes. Dans cet article, nous décortiquons la chaîne d’attaque, les conséquences pour les organisations et les mesures de défense à mettre en place dès maintenant.
L’essor des attaques IA sur les appliances FortiGate
Contexte et motivations
Le paysage de la cybersécurité en 2026 est marqué par une augmentation de l’usage d’IA générative par les acteurs malveillants. Le rapport d’Amazon Threat Intelligence indique que l’opérateur était motivé par le gain financier, sans affiliation à un APT étatique. En s’appuyant sur deux outils d’IA - l’un principal, l’autre de secours - l’acteur a automatisé la phase de reconnaissance, la génération de scripts et la rédaction d’instructions d’exploitation. Cette approche a permis de compenser une expertise technique limitée, transformant un individu ou un petit groupe en une quasi-ligne de production de cybercrime.
Statistiques clés
- 600+ FortiGate compromis (source : Amazon Threat Intelligence, 2026).
- 55 pays touchés, couvrant l’Asie du Sud, l’Amérique latine, les Caraïbes, l’Afrique de l’Ouest, l’Europe du Nord et l’Asie du Sud-Est.
- 92 % des tentatives d’accès ont ciblé les ports de gestion exposés (443, 8443, 10443, 4443).
« L’IA a servi de levier pour automatiser des attaques qui, auparavant, nécessitaient une équipe bien plus nombreuse et expérimentée. » - CJ Moses, CISO d’Amazon Integrated Security
« La tendance à la hausse des attaques IA sur les infrastructures critiques devrait se poursuivre tout au long de 2026. » - CJ Moses, 2026
Méthodologie de l’acteur de menace assisté par IA
Exploitation des ports de gestion exposés
L’acteur a d’abord exécuté un scan massif des interfaces de gestion FortiGate accessibles depuis Internet. Les adresses IP ciblées ont été identifiées via des listes publiques d’appareils exposés, puis sondées sur les ports 443, 8443, 10443 et 4443. Une fois le service détecté, l’IA a généré des listes de comptes et mots de passe courants (admin/admin, admin/password, etc.) et a lancé des tentatives d’authentification en boucle. Cette technique, dite “credential stuffing”, a profité de la faible hygiène des identifiants et de l’absence de MFA.
Utilisation d’outils IA pour le développement de scripts
L’IA joue également un rôle clé dans la sécurisation des plateformes mobiles, comme le montre le blocage de 175 millions d’applications malveillantes par Google en 2025 : Google bloque 175 millions d’applications malveillantes – comment l’IA renforce la sécurité mobile.
Après avoir obtenu un accès initial, les outils d’IA ont été employés pour créer des scripts de post-exploitation. Les codes générés présentaient des caractéristiques typiques d’une assistance IA :
- Commentaires redondants qui répétaient le nom de la fonction.
- Architecture simpliste avec un excès de mise en forme au détriment de la fonctionnalité.
- Parsing JSON via des correspondances de chaînes au lieu d’une désérialisation sûre.
- Presence de shims de compatibilité sans documentation.
Ces scripts, écrits en Go et Python, ont permis d’extraire les configurations complètes des FortiGate, révélant ainsi les informations d’identification, la topologie réseau et les paramètres de VPN.
Exemple de code généré par l’IA
import requests, json
url = "https://{target_ip}:443/api/v2/monitor/system/config"
headers = {"Authorization": "Bearer {token}"}
# Requête naïve - l'IA a généré un parsing simple
response = requests.get(url, headers=headers, verify=False)
config = json.loads(response.text) # Pas de validation du schéma
print(config)
Conséquences et vecteurs d’escalade
Extraction de configurations et compromission AD
Une fois les configurations récupérées, les attaquants ont pu déduire les comptes d’administration et les mots de passe associés. En s’appuyant sur ces informations, ils ont infiltré les Active Directory des organisations, exécuté des attaques DCSync pour récupérer les hachages de mots de passe et mené des mouvements latéraux via pass-the-hash, pass-the-ticket et NTLM relay.
Risques pour les sauvegardes et ransomware
Le rapport souligne également que les acteurs ont ciblé les serveurs Veeam Backup & Replication, exploitant les vulnérabilités CVE-2023-27532 et CVE-2024-40711. Cette étape préparait un éventuel déploiement de ransomware, en compromettant les sauvegardes et en assurant la perte de données critiques.
Mesures de défense essentielles pour 2026
Bonnes pratiques de gestion des accès
| Mesure de sécurité | Efficacité estimée* |
|---|---|
| Désactivation des ports de gestion publics | 85 % |
| MFA obligatoire pour admin et VPN | 78 % |
| Rotation trimestrielle des mots de passe | 62 % |
| Utilisation de mots de passe uniques | 70 % |
*Évaluations basées sur les retours d’incidents 2025-2026.
- Fermer les ports de gestion : ne jamais exposer les interfaces FortiGate (HTTPS/SSH) directement à Internet. Utiliser un bastion ou un VPN dédié.
- Appliquer le MFA pour tout accès administratif, y compris les connexions VPN.
- Mettre en place une politique de mots de passe forts et interdire les mots de passe par défaut.
- Auditer régulièrement les comptes administratifs afin de détecter les comptes inactifs ou non autorisés.
Segmentation réseau et surveillance IA
La segmentation du réseau limite la portée d’un compromis. En isolant les appliances de sécurité du reste du réseau, on empêche la propagation latérale. De plus, le déploiement de solutions de détection basées sur l’IA (ex. UEBA, analyse comportementale) permet d’identifier les anomalies liées à des accès inhabituels ou à des requêtes de configuration suspectes.
Guide d’implémentation pas à pas
Étape 1 - Audit des interfaces exposées
- Inventorier toutes les appliances FortiGate via un outil de gestion d’inventaire.
- Scanner les adresses IP publiques à la recherche de ports 443, 8443, 10443 et 4443 ouverts.
- Documenter les résultats dans un tableau de bord partagé avec les équipes réseau.
Étape 2 - Renforcement des identifiants
- Remplacer tous les mots de passe par défaut par des secrets générés aléatoirement (minimum 16 caractères, incluant majuscules, minuscules, chiffres et symboles).
- Implémenter une politique de rotation tous les 90 jours.
- Activer MFA sur les comptes administratifs et VPN.
Étape 3 - Déploiement de la surveillance IA
- Intégrer un SIEM capable d’ingérer les logs FortiGate (trafic, authentification, modifications de configuration).
- Configurer des règles de corrélation pour détecter les tentatives d’accès répétés depuis des adresses IP suspectes.
- Utiliser un module d’UEBA pour identifier les comportements anormaux, comme la récupération massive de configurations.
Étape 4 - Sécurisation des sauvegardes
- Isoler les serveurs de sauvegarde du réseau de production via firewall interne et VLAN dédiés.
- Appliquer les patchs de sécurité dès leur disponibilité (ex. CVE-2023-27532, CVE-2024-40711).
- Chiffrer les backups et vérifier régulièrement l’intégrité des archives.
Conclusion - Agir dès aujourd’hui pour contrer l’attaque IA sur FortiGate
L’incident de 2026 démontre que l’IA n’est plus une technologie réservée aux acteurs sophistiqués ; elle est désormais à la portée de pratiquement n’importe qui souhaitant automatiser des attaques basiques. La meilleure défense reste une hygiène rigoureuse des accès, la segmentation du réseau et le déploiement d’outils de détection intelligents. En appliquant les mesures décrites ci-dessus, les organisations peuvent réduire de façon significative le risque de voir leurs FortiGate transformés en porte d’entrée pour des campagnes de ransomware.
« Les fondamentaux de la cybersécurité restent la première ligne de défense contre les menaces IA. » - CJ Moses, 2026
Prenez dès maintenant les actions proposées : auditez vos interfaces, renforcez vos identifiants, segmentez vos réseaux et exploitez l’intelligence artificielle pour détecter les comportements suspects. Le futur de la sécurité dépend de votre capacité à anticiper et à neutraliser les attaques avant qu’elles ne se matérialisent.