Une campagne de piratage d’une grande ampleur est détaillée par Amazon Threat Intelligence. Un attaquant, jugé peu qualifié, a réussi à compromettre plus de 600 pare-feux FortiGate à travers le monde entre le 11 janvier et le 18 février 2026. La particularité de cette opération ne réside pas dans l’exploitation de vulnérabilités complexes, mais dans l’utilisation de l’IA pour automatiser et décupler son efficacité.
Comment l’IA a-t-elle servi ?
L’attaquant n’a pas eu besoin de failles zero-day. Il a ciblé des interfaces de gestion FortiGate exposées sur internet et utilisé des attaques par force brute contre des identifiants faibles et non protégés par une authentification à plusieurs facteurs. Une fois l’accès obtenu, il extrayait les fichiers de configuration, contenant identifiants, topologie réseau et politiques de sécurité.
C’est ici que l’IA est intervenue. L’attaquant a soumis les données à des modèles de langage tels que Claude et DeepSeek pour développer des outils personnalisés en Python et Go.
Amazon indique que l’analyse du code source révèle » des indicateurs clairs de développement assisté par l’IA » pour planifier les attaques et automatiser la reconnaissance.
Quelle était la méthodologie post-compromission ?
Une fois à l’intérieur des réseaux, l’attaquant a déployé un arsenal d’outils, dont un serveur personnalisé agissant comme un pont entre les données de reconnaissance et les IA commerciales. L’objectif était d’obtenir un accès complet aux environnements Active Directory.
Les notes opérationnelles de l’attaquant, rédigées en russe, détaillaient l’utilisation d’outils comme Meterpreter et mimikatz pour réaliser des attaques DCSync et extraire les mots de passe.
L’infrastructure de sauvegarde, notamment les serveurs Veeam, était une cible prioritaire, une tactique souvent observée avant le déploiement de ransomwares.
Une tendance alarmante avec l’IA
Cette campagne d’attaque illustre une tendance faisant que l’IA abaisse considérablement la barrière à l’entrée pour les cybercriminels. Amazon souligne que l’attaquant » a atteint une échelle opérationnelle qui aurait auparavant nécessité une équipe beaucoup plus grande et plus qualifiée « . Respecter les fondamentaux de la sécurité devient plus crucial que jamais.