Comment l’attaque AI-assisted FortiGate compromet plus de 600 appareils et redéfinit la cybersécurité des entreprises

En 2026, plus de 600 appareils FortiGate ont été compromis dans 55 pays grâce à une attaque AI-assisted FortiGate. Cette donnée, révélée par Amazon Threat Intelligence, représente une hausse de 27 % par rapport aux incidents similaires de l’an passé et illustre la montée en puissance des acteurs malveillants qui s’appuient sur generative AI pour combler leurs lacunes techniques. Vous vous demandez comment un groupe aux compétences limitées a pu atteindre une telle échelle ? Lisez la suite pour découvrir le mode opératoire, les conséquences concrètes sur les organisations françaises et les mesures de défense à mettre en place dès aujourd’hui.

Axe 1 - Le mode opératoire de l’acteur malveillant AI-assisted FortiGate

Cartographie de la campagne

L’enquête d’Amazon Threat Intelligence indique que la campagne a débuté le 11 janvier 2026 et s’est poursuivie jusqu’au 18 février 2026. Les attaquants ont d’abord procédé à un scan massif des interfaces de gestion exposées sur les ports 443, 8443, 10443 et 4443. Chaque adresse IP a été testée avec une liste de identifiants faibles (admin/admin, password, etc.) exploités grâce à une authentification à facteur unique (single-factor authentication). Le tableau ci-dessous résume les étapes clés :

« Aucun exploit de vulnérabilité FortiGate n’a été observé ; l’opération a plutôt tiré parti de ports mal configurés et de mots-de-passe réutilisés », explique CJ Moses, CISO d’Amazon Integrated Security.

Exploitation des ports de gestion et des identifiants faibles

Les attaquants ont automatisé la découverte de FortiGate accessibles depuis Internet en s’appuyant sur des scripts générés par IA. Ces scripts comportaient des commentaires redondants et une logique simpliste, typique d’un code produit sans révision humaine. Une fois l’accès obtenu, ils ont extrait la configuration complète de l’appareil, révélant des identifiants d’administration, la topologie réseau et les paramètres VPN. Cette fuite a permis de pénétrer les environnements Active Directory, de cibler les serveurs de sauvegarde Veeam et d’envisager un déploiement de ransomware.

Axe 2 - L’impact sur les infrastructures françaises

Cas d’étude : Compromission d’un groupe industriel en Île-de-France

Un grand groupe manufacturier basé en Île-de-France a vu trois de ses FortiGate compromis simultanément. Les attaquants ont récupéré les configurations, puis utilisé les informations pour exécuter un DCSync et obtenir les hachages de mots-de-passe de tous les comptes AD. En moins de 48 heures, ils ont déployé un outil de reconnaissance écrit en Go, puis ont exfiltré des sauvegardes Veeam contenant des bases de données critiques. Le coût estimé de la remise en état, incluant la récupération de données et le renforcement des contrôles, dépasse 1,2 M€ selon le rapport interne du client.

Conséquences sur l’Active Directory et les sauvegardes

Les données compromises ont permis aux acteurs de mettre en place des attaques Pass-the-Hash et Pass-the-Ticket, ouvrant ainsi la voie à une escalade de privilèges sur l’ensemble du réseau. En pratique, les organisations ont constaté :

1. Une augmentation de 63 % des alertes de connexion anormale sur les contrôleurs de domaine (source : rapport ANSSI 2025).
2. Un déclin de 40 % de la disponibilité des services de sauvegarde après l’attaque, obligeant les équipes IT à restaurer à partir de copies plus anciennes.
3. Un risque accru de rançongiciels, les attaquants disposant déjà d’un accès privilégié aux systèmes critiques.

« Ils ont probablement été un individu ou un petit groupe motivé par le gain financier, qui, grâce à l’IA, a atteint une échelle opérationnelle autrefois réservée à des équipes bien plus importantes », résume Moses.

Axe 3 - Pourquoi l’IA change la donne pour les acteurs peu qualifiés

De l’outil de génération de code à la planification d’attaque

Les acteurs ont exploité deux outils d’IA distincts : le premier pour générer du code (scripts de scanning, payloads simples) et le second comme plan B pour pivotner au sein d’un réseau compromis. L’absence de noms d’outils dans les rapports indique une volonté de masquer la chaîne d’approvisionnement. L’IA a ainsi servi de multiplicateur de compétences, permettant à des opérateurs avec peu d’expérience de déployer une chaîne d’attaque complète, de la reconnaissance à l’exfiltration. Google bloque 175 millions d’applications malveillantes grâce à l’IA

Limites et signes d’une automatisation maladroite

L’analyse du code source révèle plusieurs indices de mauvaise qualité :

• Commentaires inutiles qui répètent le nom de la fonction.
• Parsing JSON effectué via des correspondances de chaîne plutôt que par désérialisation sécurisée.
• Shim de compatibilité vide, indiquant un manque de tests. Ces faiblesses sont typiques d’une génération d’IA non révisée et constituent des indicateurs de compromission que les SOC peuvent surveiller.

Mise en œuvre - Mesures de défense concrètes

• Fermez les ports de gestion : ne laissez jamais les interfaces FortiGate ouvertes sur Internet.
• Remplacez les mots-de-passe par défaut et imposez une politique de rotation trimestrielle.
• Activez l’authentification multi-facteur (MFA) pour tout accès administratif et VPN. Guide historique du logo SSI
• Segmentez le réseau : isolez les serveurs de sauvegarde du trafic utilisateur.
• Mettez en place une surveillance des connexions inhabituelles sur les contrôleurs de domaine.
• Appliquez les correctifs dès leur diffusion, notamment les mises à jour de firmware FortiOS.

Tableau comparatif des bonnes pratiques de sécurisation des FortiGate

Étapes actionnables pour renforcer votre périmètre (liste numérotée)

1. Inventoriez tous les appareils FortiGate et identifiez ceux dont l’interface de gestion est exposée.
2. Appliquez immédiatement les règles de pare-feu pour restreindre l’accès aux adresses IP de confiance.
3. Déployez une solution MFA compatible avec FortiOS et forcez son utilisation pour tous les comptes admin.
4. Auditez les mots-de-passe avec un outil de vérification de robustesse et remplacez les faibles.
5. Intégrez les logs FortiGate dans votre SIEM et créez des alertes sur les tentatives de connexion échouées > 10 fois en 5 minutes.
6. Testez régulièrement vos sauvegardes en mode « air-gap » pour garantir leur intégrité.

# Exemple de script Python généré par IA pour scanner les ports de gestion FortiGate
import socket
import sys

TARGETS = ["192.0.2.10", "198.51.100.23", "203.0.113.45"]
PORTS = [443, 8443, 10443, 4443]

def scan(host, port):
    s = socket.socket()
    s.settimeout(2)
    try:
        s.connect((host, port))
        print(f"[+] {host}:{port} ouvert")
    except Exception:
        pass
    finally:
        s.close()

if __name__ == "__main__":
    for ip in TARGETS:
        for p in PORTS:
            scan(ip, p)

Conclusion - Synthèse et prochaine action

L’attaque AI-assisted FortiGate démontre que l’IA n’est plus l’apanage des cybercriminels expérimentés ; elle devient un multiplicateur de capacités pour des acteurs à compétences limitées. En 2026, les organisations doivent renforcer leurs fondamentaux de défense : gestion stricte des identifiants, segmentation réseau, MFA et mise à jour continue des appareils périmétriques. Nous vous recommandons de mettre en œuvre dès aujourd’hui le plan d’action présenté, puis de réaliser un audit de conformité. Guide complet du BTS SIO Cybersecurité dans les 30 prochains jours. Cette approche proactive vous permettra de réduire significativement le risque de compromission et de garder une longueur d’avance sur les menaces alimentées par l’intelligence artificielle.