Compromission massive d’appliances FortiGate par un acteur « augmenté par l’IA » : industrialisation d’attaques opportunistes

Contrairement à des campagnes reposant sur des vulnérabilités zero-day, cette opération s’est appuyée exclusivement sur des interfaces d’administration accessibles publiquement et sur des identifiants faibles ou dépourvus de MFA. L’élément différenciant réside dans l’usage intensif de services d’IA générative commerciaux pour automatiser et industrialiser des techniques connues, réduisant significativement la barrière technique et augmentant la cadence d’attaque.

L’acteur de menace a compromis des appliances FortiGate dispersées mondialement, puis exfiltré les configurations complètes des équipements, incluant les identifiants administrateurs, les accès VPN, les informations de topologie réseau ou encore les paramètres de configuration.

Ces données ont ensuite été exploitées pour se connecter aux réseaux internes des victimes via VPN. Une fois l’accès établi, l’acteur a conduit des activités post-exploitation conformes à des schémas pré-ransomware comme la compromission de l'Active Directory, la collecte massive d’identifiants (credential harvesting) et des tentatives d’accès aux infrastructures de sauvegarde.

Après obtention d’un accès VPN, l’acteur déployait un outil de reconnaissance personnalisé, décliné en plusieurs versions développées en Go et en Python, destiné à cartographier rapidement les environnements internes et identifier des cibles à forte valeur.

Les outils observés, bien que fonctionnels, présentent des caractéristiques typiques de code généré ou assisté par IA (redondances, gestion limitée des exceptions, logique simplifiée). L’approche privilégie la rapidité et l’échelle plutôt que la furtivité ou la sophistication avancée. En présence de mesures de sécurité robustes, l’acteur abandonnait généralement la cible au profit d’environnements moins protégés.

Cette campagne illustre une évolution significative : l’IA générative ne crée pas de nouvelles techniques d’intrusion, mais accélère et industrialise l’exploitation de faiblesses basiques (exposition d’interfaces d’administration, absence de MFA, hygiène d’identités insuffisante).

L’avantage compétitif de l’acteur repose sur la volumétrie des cibles, l’automatisation des phases de reconnaissance et d’exploitation, et la rapidité de pivot vers des environnements plus permissifs.

Cette opération démontre que la menace « augmentée par l’IA » repose avant tout sur l’optimisation et l’industrialisation de techniques éprouvées. La réduction du risque demeure donc principalement liée à l’application rigoureuse des fondamentaux de sécurité.

Recommandations pour les organisations

• Interdire l’exposition directe sur Internet des interfaces d’administration des équipements de sécurité.
• Imposer une authentification multifacteur (MFA) sur tous les accès d’administration et VPN.
• Mettre en œuvre un durcissement systématique des appliances et une segmentation stricte des accès.
• Surveiller les connexions VPN anormales et les comportements suspects post-authentification.
• Protéger et isoler les infrastructures de sauvegarde contre les accès latéraux.