Un pirate a pu compromettre 600 pare-feu FortiGate grâce à l’IA.
Un attaquant russe a compromis plus de 600 pare-feu FortiGate dans 55 pays en l’espace de cinq semaines, sans utiliser d’exploits zero-day. Il n’a eu besoin que de mots de passe faibles et de l’IA générative.
Pas de zero-day, mais de la force brute et de l’IA
Selon un rapport du CISO d’Amazon, CJ Moses, la campagne s’est déroulée du 11 janvier au 18 février 2026. L’attaquant a ciblé les interfaces de gestion accessibles au public sur les ports 443, 8443, 10443 et 4443.
Au lieu d’exploiter des vulnérabilités, des attaques par force brute ont été utilisées contre des comptes sans MFA. Une fois l’accès obtenu, des fichiers de configuration ont été dérobés, y compris des identifiants VPN, des mots de passe administrateur et la topologie du réseau.
Amazon affirme que des services d’IA ont été utilisés pour :
- élaborer des scénarios d’attaque ;
- générer des scripts en Python et Go ;
- planifier des mouvements latéraux ;
- rédiger de la documentation opérationnelle ;
Serveurs de sauvegarde et Active Directory
Des environnements Active Directory ont été attaqués à l’aide d’outils tels que Meterpreter et mimikatz. Des serveurs Veeam Backup & Replication ont également été ciblés, probablement pour compliquer la récupération après un ransomware.
Un serveur mal configuré en Suisse contenait plus de 1 400 fichiers comprenant des configurations volées, des extractions d’identifiants et des scripts d’attaque générés par IA. Les chercheurs ont également découvert un serveur Model Context Protocol (MCP) propre, rapporte Bleeping Computer, qui envoyait des données directement à des LLM commerciaux pour analyse et planification.