Entre automatisation et négligence, une campagne récente montre comment des interfaces d’administration exposées et des mots de passe faibles suffisent à ouvrir des réseaux entiers, à grande échelle.
Une analyse d’Amazon décrit une campagne menée entre le 11 janvier et le 18 février 2026, où un cybercriminel motivé par le profit a compromis plus de 600 équipements FortiGate dans 55 pays. L’attaque ne reposait pas sur des failles logicielles, mais sur des consoles de gestion laissées accessibles depuis Internet et protégées par une authentification simple avec des mots de passe faciles à deviner. En s’appuyant sur plusieurs services commerciaux d’IA générative, l’attaquant a industrialisé la méthode, récupérant configurations, identifiants, plans réseau et paramètres VPN. Objectif final, pénétrer l’interne, viser Active Directory et sonder les sauvegardes, un signal souvent associé aux préparatifs d’un rançongiciel.
Une intrusion sans vulnérabilité, portée par l’automatisation
Le scénario a quelque chose d’inconfortable, parce qu’il n’exige ni exploit sophistiqué ni compétence rare. D’après Amazon, du 11 janvier au 18 février 2026, soit 38 jours si l’on compte du premier au dernier jour, un acteur cybercriminel a pris pied sur plus de 600 équipements FortiGate répartis dans 55 pays. Le volume et la dispersion géographique donnent l’impression d’une opération structurée, pourtant l’analyse conclut à un profil non étatique, plutôt un loup solitaire ou un petit noyau opportuniste.
Le point d’entrée n’est pas une vulnérabilité du produit. L’attaquant a cherché des interfaces de gestion directement exposées sur Internet, puis a tenté de deviner ou de forcer des mots de passe trop faibles, avec une authentification à facteur unique. Le cœur du problème est donc une erreur de configuration élémentaire, que l’on retrouve encore dans des entreprises de toutes tailles, parfois par héritage de choix anciens, parfois par manque de contrôle, souvent parce que l’accès distant “temporaire” finit par devenir permanent.
Ce qui change, selon Amazon, c’est la cadence. Plusieurs services commerciaux d’IA générative auraient servi à mettre en place une chaîne d’actions quasi automatique. L’IA ne « pirate » pas à elle seule, mais elle peut accélérer la préparation, l’enchaînement des étapes, la normalisation des commandes, l’adaptation des scripts et la production de variations lorsque l’environnement diffère légèrement. À l’échelle d’Internet, ce gain de temps transforme une routine d’attaquant en moisson industrielle. Quand la barrière technique baisse, le véritable facteur limitant devient la discipline d’hygiène numérique du côté des défenseurs.
De la configuration au cœur du réseau, la trajectoire classique
Une fois l’équipement compromis, l’attaquant a téléchargé les configurations complètes. C’est un trésor opérationnel, parce qu’il peut y trouver des identifiants, des informations de topologie, des indices sur la segmentation, ainsi que des paramètres de réseau privé virtuel. À partir de là, le basculement est logique, l’objectif n’est pas l’équipement lui-même, mais la porte qu’il ouvre sur l’infrastructure interne des organisations.
L’analyse décrit ensuite une progression vers les domaines Active Directory. Cette étape est un pivot, car Active Directory concentre l’identité, les droits et souvent les clés d’accès aux ressources critiques. L’attaquant a extrait des bases de données de comptes et, dans certains cas, a obtenu des ensembles complets de hachages de mots de passe. Même sans casser immédiatement ces hachages, leur possession facilite la réutilisation d’identifiants, les tentatives hors ligne et la cartographie des privilèges.
Un autre détail pèse lourd, l’intérêt marqué pour les serveurs de sauvegarde. Dans la pratique des intrusions à but lucratif, les sauvegardes sont la bouée de secours des victimes, donc une cible prioritaire pour qui veut monétiser l’accès. L’analyse souligne que cette curiosité pour les systèmes de backup intervient fréquemment avant le déploiement d’un rançongiciel. Autrement dit, la compromission du périmètre n’est qu’un début, le vrai risque se situe dans la capacité à rendre la restauration impossible ou douloureuse.
Enfin, la campagne semble guidée par un pragmatisme froid. Lorsque l’environnement imposait des opérations plus complexes, l’attaquant ne s’acharnait pas et passait à une autre cible. Cette discipline révèle une logique de rendement, maximiser les gains en minimisant le temps passé par victime. C’est précisément là que l’IA générative, utilisée comme accélérateur, renforce le modèle, elle aide à standardiser l’approche et à éliminer les frictions, sans nécessairement augmenter la profondeur technique de l’attaque.
Au bout du compte, cette affaire rappelle une vérité de cyber-renseignement, l’avantage revient à celui qui transforme de petites failles d’hygiène en informations actionnables, vite, à grande échelle.