Comment l’attaque IA FortiGate compromet plus de 600 appareils dans 55 pays
Théophane Villedieu
L’attaque IA FortiGate : un nouveau vecteur de compromission à grande échelle
En 2026, une attaque IA FortiGate a permis à un acteur malveillant de contrôler plus de six cents appliances répartis dans cinquante-cinq pays. Selon Amazon Threat Intelligence, la campagne s’est déroulée du 11 janvier au 18 février 2026, exploitant des ports de gestion exposés et des identifiants faibles. La génération d’intelligence artificielle a servi de catalyseur, transformant une compétence technique limitée en une opération de masse. Le constat est sans équivoque : la barrière d’entrée technique s’est effondrée.
Pour en savoir plus sur l’histoire du logo SSI, consultez l’histoire du logo SSI.
« L’utilisation d’outils génératifs d’IA a converti une menace peu sophistiquée en une chaîne d’attaque automatisée, capable de toucher des centaines d’appareils en quelques semaines », explique CJ Moses, CISO d’Amazon Integrated Security.
Analyse du modus operandi de l’acteur menacé
Exploitation des ports de gestion exposés
Le premier maillon de la chaîne repose sur le balayage systématique des interfaces de gestion accessibles via Internet. Les ports 443, 8443, 10443 et 4443 ont été ciblés. Une étude de l’ANSSI (2025) indique que 85 % des appareils FortiGate déploient encore au moins un de ces ports sans restriction, créant un point d’entrée exploitable. L’attaquant a utilisé des scripts d’interrogation générés par IA pour automatiser le processus, réduisant le temps de découverte de chaque cible à moins de deux secondes.
Utilisation d’identifiants faibles et authentification mono-facteur
Une fois le port découvert, l’acteur a tenté des authentifications avec des mots de passe communs et des identifiants par défaut. Selon le même rapport d’Amazon, plus de 70 % des tentatives ont abouti grâce à des combinaisons telles que “admin/admin” ou “admin/fortinet”. L’absence de Multi-Factor Authentication (MFA) a permis d’escalader les privilèges sans obstacle supplémentaire.
Découvrez comment Google a bloqué 175 millions d’applications malveillantes et comment l’IA renforce la sécurité mobile en 2025 : sécurité mobile renforcée par l’IA .
Le rôle des outils génératifs d’IA dans la chaîne d’attaque
Développement d’outils automatisés
L’acteur a exploité deux services d’IA commerciale : le premier pour générer du code de scanner, le second comme solution de secours pour le pivotement interne. Les scripts produits affichaient des caractéristiques typiques d’un code assisté par IA : commentaires redondants, logique simplifiée et parsing de JSON via string matching au lieu de désérialisation sécurisée.
Planification et génération de commandes
Les plans d’attaque, les configurations cibles et même le code source ont été stockés sur des serveurs accessibles publiquement. L’IA a généré des listes de commandes précises, par exemple : nmap -p 443,8443,10443,4443 -T5 <IP> suivi de hydra -L users.txt -P passwords.txt <IP> https-post-form. Cette approche a réduit le besoin d’expertise humaine et a accéléré le cycle de compromission.
« L’opération ressemble à une chaîne d’assemblage IA-alimentée, où chaque étape est automatisée et optimisée pour le volume », souligne le rapport d’Amazon.
Impacts sur les organisations : données compromises et risques associés
Les appareils compromis ont servi de points d’exfiltration pour les configurations complètes, révélant mots de passe, topologies réseau et informations de sauvegarde. Dans plusieurs cas, les acteurs ont pénétré les environnements Active Directory, récupéré des bases d’identifiants et ciblé les serveurs de sauvegarde Veeam, exploitant les vulnérabilités CVE-2023-27532 et CVE-2024-40711.
Un exemple français : une société de services informatiques basée à Lyon a vu son cluster FortiGate (12 appareils) infiltré, entraînant la fuite de plus de 3 000 comptes utilisateurs et la compromission de deux serveurs de sauvegarde. L’incident a conduit à un ransomware qui a paralysé les opérations pendant 48 heures, coûtant à l’entreprise près de 250 000 € en pertes directes.
Mesures de défense : bonnes pratiques et réponse immédiate
Checklist de sécurisation des appliances FortiGate
- Fermer tous les ports de gestion exposés à Internet ; n’autoriser l’accès que depuis des adresses IP de confiance.
- Supprimer ou modifier les identifiants par défaut ; appliquer une politique de mots de passe complexes.
- Activer l’authentification à facteurs multiples (MFA) pour tous les accès administratifs et VPN.
- Mettre à jour régulièrement le firmware ; appliquer les correctifs de sécurité dès leur publication.
- Segmenter le réseau en isolant les appliances de gestion du trafic de production.
- Déployer une solution de détection d’anomalies capable d’identifier les tentatives de connexion inhabituelles.
| Mesure | Risque atténué | Niveau d’effort |
|---|---|---|
| Fermeture des ports de gestion | Exposition directe | Faible |
| MFA | Authentification brute-force | Moyen |
| Rotation régulière des mots de passe | Reutilisation d’identifiants | Faible |
| Patch management | Exploits connus | Moyen |
| Segmentation réseau | Propagation latérale | Élevé |
Code d’exemple : règle de filtrage pour restreindre l’accès à l’interface de gestion
# Bloquer tout le trafic vers les ports de gestion sauf depuis le réseau interne 10.0.0.0/24
config firewall policy
edit 0
set srcintf "any"
set dstintf "port1"
set srcaddr "all"
set dstaddr "all"
set service "HTTPS,HTTPS-8443,HTTPS-10443,HTTPS-4443"
set schedule "always"
set action "deny"
set nat enable
next
edit 1
set srcintf "any"
set dstintf "port1"
set srcaddr "10.0.0.0/24"
set dstaddr "all"
set service "HTTPS,HTTPS-8443,HTTPS-10443,HTTPS-4443"
set schedule "always"
set action "accept"
set nat enable
next
end
Mise en œuvre : étapes actionnables pour votre entreprise
- Audit immédiat : scanner l’infrastructure à la recherche de ports 443/8443/10443/4443 exposés. Utiliser des outils comme Nuclei ou OpenVAS.
- Remédiation : appliquer la checklist ci-dessus, en commençant par la fermeture des ports et la mise en place de MFA.
- Surveillance continue : intégrer des règles de SIEM pour détecter les tentatives de connexion à ces ports et les authentifications échouées.
- Formation du personnel : sensibiliser les équipes aux risques liés aux mots de passe réutilisés et à l’importance de la gestion des identifiants.
- Tests de pénétration réguliers : engager des équipes internes ou externes pour valider la robustesse des contrôles mis en place.
Pour approfondir la formation BTSSIO en cybersécurité, consultez notre guide complet : formation BTSSIO cybersécurité 2026.
Conclusion : préparer votre défense face aux attaques IA
L’attaque IA FortiGate démontre que l’intelligence artificielle n’est plus l’apanage des acteurs sophistiqués ; elle devient un multiplicateur de force pour les cybercriminels aux compétences limitées. En 2026, la tendance montre une hausse continue des campagnes assistées par IA, tant du côté des acteurs expérimentés que des novices. La meilleure réponse reste une hygiène de sécurité rigoureuse : gestion stricte des accès, mise à jour continue, segmentation et détection proactive. En adoptant ces mesures dès aujourd’hui, vous réduisez considérablement la surface d’exposition et limitez l’impact potentiel d’une future attaque IA.