Archives par mot-clé : FortiGate

APT, Cybersécurité, Entreprise, IA

L’IA au service d’un piratage éclair de FortiGate

Entre automatisation et négligence, une campagne récente montre comment des interfaces d’administration exposées et des mots de passe faibles suffisent à ouvrir des réseaux entiers, à grande échelle.

Une analyse d’Amazon décrit une campagne menée entre le 11 janvier et le 18 février 2026, où un cybercriminel motivé par le profit a compromis plus de 600 équipements FortiGate dans 55 pays. L’attaque ne reposait pas sur des failles logicielles, mais sur des consoles de gestion laissées accessibles depuis Internet et protégées par une authentification simple avec des mots de passe faciles à deviner. En s’appuyant sur plusieurs services commerciaux d’IA générative, l’attaquant a industrialisé la méthode, récupérant configurations, identifiants, plans réseau et paramètres VPN. Objectif final, pénétrer l’interne, viser Active Directory et sonder les sauvegardes, un signal souvent associé aux préparatifs d’un rançongiciel.

Une intrusion sans vulnérabilité, portée par l’automatisation

Le scénario a quelque chose d’inconfortable, parce qu’il n’exige ni exploit sophistiqué ni compétence rare. D’après Amazon, du 11 janvier au 18 février 2026, soit 38 jours si l’on compte du premier au dernier jour, un acteur cybercriminel a pris pied sur plus de 600 équipements FortiGate répartis dans 55 pays. Le volume et la dispersion géographique donnent l’impression d’une opération structurée, pourtant l’analyse conclut à un profil non étatique, plutôt un loup solitaire ou un petit noyau opportuniste.

Le point d’entrée n’est pas une vulnérabilité du produit. L’attaquant a cherché des interfaces de gestion directement exposées sur Internet, puis a tenté de deviner ou de forcer des mots de passe trop faibles, avec une authentification à facteur unique. Le cœur du problème est donc une erreur de configuration élémentaire, que l’on retrouve encore dans des entreprises de toutes tailles, parfois par héritage de choix anciens, parfois par manque de contrôle, souvent parce que l’accès distant “temporaire” finit par devenir permanent.

Ce qui change, selon Amazon, c’est la cadence. Plusieurs services commerciaux d’IA générative auraient servi à mettre en place une chaîne d’actions quasi automatique. L’IA ne « pirate » pas à elle seule, mais elle peut accélérer la préparation, l’enchaînement des étapes, la normalisation des commandes, l’adaptation des scripts et la production de variations lorsque l’environnement diffère légèrement. À l’échelle d’Internet, ce gain de temps transforme une routine d’attaquant en moisson industrielle. Quand la barrière technique baisse, le véritable facteur limitant devient la discipline d’hygiène numérique du côté des défenseurs.

De la configuration au cœur du réseau, la trajectoire classique

Une fois l’équipement compromis, l’attaquant a téléchargé les configurations complètes. C’est un trésor opérationnel, parce qu’il peut y trouver des identifiants, des informations de topologie, des indices sur la segmentation, ainsi que des paramètres de réseau privé virtuel. À partir de là, le basculement est logique, l’objectif n’est pas l’équipement lui-même, mais la porte qu’il ouvre sur l’infrastructure interne des organisations.

L’analyse décrit ensuite une progression vers les domaines Active Directory. Cette étape est un pivot, car Active Directory concentre l’identité, les droits et souvent les clés d’accès aux ressources critiques. L’attaquant a extrait des bases de données de comptes et, dans certains cas, a obtenu des ensembles complets de hachages de mots de passe. Même sans casser immédiatement ces hachages, leur possession facilite la réutilisation d’identifiants, les tentatives hors ligne et la cartographie des privilèges.

Un autre détail pèse lourd, l’intérêt marqué pour les serveurs de sauvegarde. Dans la pratique des intrusions à but lucratif, les sauvegardes sont la bouée de secours des victimes, donc une cible prioritaire pour qui veut monétiser l’accès. L’analyse souligne que cette curiosité pour les systèmes de backup intervient fréquemment avant le déploiement d’un rançongiciel. Autrement dit, la compromission du périmètre n’est qu’un début, le vrai risque se situe dans la capacité à rendre la restauration impossible ou douloureuse.

Enfin, la campagne semble guidée par un pragmatisme froid. Lorsque l’environnement imposait des opérations plus complexes, l’attaquant ne s’acharnait pas et passait à une autre cible. Cette discipline révèle une logique de rendement, maximiser les gains en minimisant le temps passé par victime. C’est précisément là que l’IA générative, utilisée comme accélérateur, renforce le modèle, elle aide à standardiser l’approche et à éliminer les frictions, sans nécessairement augmenter la profondeur technique de l’attaque.

Au bout du compte, cette affaire rappelle une vérité de cyber-renseignement, l’avantage revient à celui qui transforme de petites failles d’hygiène en informations actionnables, vite, à grande échelle.

Cybersécurité, Entreprise

Nouveau malware souligne l’intérêt continu pour les appareils edge

Découverte par les Services de Renseignements, cette menace souligne l’importance de sécuriser les périphéries du réseau.

Le monde de la cybersécurité est en alerte suite à la découverte d’un nouveau malware ciblant spécifiquement les appareils FortiGate. Cette révélation, issue d’une enquête conjointe menée par le Service de renseignement militaire (MIVD) et le Service général de renseignement et de sécurité (AIVD), met en lumière une tendance préoccupante : les cyberattaquants portent désormais un intérêt accru aux appareils edge accessibles au public.

Contexte : une menace sophistiquée

Lors de leur enquête, le MIVD et l’AIVD ont identifié un cheval de Troie d’accès à distance (RAT) persistant, conçu pour opérer discrètement et maintenir l’accès aux systèmes compromis. Ce malware exploitait une vulnérabilité critique dans les appareils FortiGate, référencée sous le code CVE-2022-42475 [Le CERT Français avait lancé une alerte, en décembre 2022], pour laquelle le Centre National de Cybersécurité (NCSC) avait émis un avertissement en décembre 2022.

Une tendance à la hausse

Cette attaque n’est pas isolée. Elle s’inscrit dans une tendance plus large où les vulnérabilités des appareils edge, tels que les pare-feux, les serveurs VPN et les serveurs de messagerie, sont exploitées. Ces appareils, situés à la frontière des réseaux et souvent directement connectés à Internet, échappent généralement à la surveillance des solutions de détection et de réponse aux incidents sur les points de terminaison (EDR), rendant les attaques difficiles à détecter.

Perspective d’action : sécuriser les appareils edge

Face à cette menace, le MIVD, l’AIVD et le NCSC recommandent plusieurs mesures pour renforcer la sécurité des appareils edge :

  • Analyse des risques : évaluer régulièrement les risques associés à ces appareils, surtout lors de l’ajout de nouvelles fonctionnalités.
  • Restriction d’accès : limiter l’accès à Internet en désactivant les ports et fonctionnalités inutilisés et en évitant de rendre l’interface de gestion accessible depuis l’extérieur.
  • Surveillance des journaux : analyser régulièrement les journaux pour détecter toute activité suspecte, telle que des tentatives de connexion à des heures inhabituelles ou des modifications non autorisées de la configuration.
  • Mises à jour de sécurité : installer sans délai les dernières mises à jour fournies par les fabricants et appliquer les mesures de protection supplémentaires recommandées.

Un contexte géopolitique tendu

La découverte de ce malware s’inscrit dans un contexte de tensions géopolitiques, illustré par l’incident de l’année dernière où un logiciel espion chinois a été détecté dans un système informatique des forces armées néerlandaises. Bien que l’ambassade de Chine à La Haye rejette toute implication, le MIVD met en garde depuis plusieurs années contre les risques d’espionnage de la part de la Chine.

Qu’est-ce-qu’un appareil Edge ?

Un appareil edge, dans le contexte de l’informatique et des réseaux, fait référence à un dispositif situé à la « périphérie » (ou « edge » en anglais) du réseau, c’est-à-dire à l’extrémité du réseau proche de l’utilisateur final plutôt que dans un centre de données centralisé ou dans le cloud. Ces appareils jouent un rôle crucial dans le traitement et la collecte de données à proximité de la source des données, ce qui permet de réduire la latence, d’améliorer les performances et de réduire la charge sur le réseau central.

Les appareils edge peuvent inclure des routeurs, des commutateurs, des pare-feux, des serveurs de messagerie, des serveurs VPN, des caméras de surveillance, des appareils IoT (Internet des Objets), des capteurs, ainsi que des dispositifs de stockage et de traitement des données. En traitant les données localement ou à proximité de l’utilisateur, les appareils edge permettent des réponses plus rapides et des décisions en temps réel sans nécessiter de transmission de grandes quantités de données vers un emplacement central pour analyse.

Le concept d’edge computing est devenu particulièrement important avec l’essor des technologies IoT et des applications nécessitant une faible latence, comme la réalité augmentée, la réalité virtuelle, le streaming vidéo de haute qualité et les applications de véhicules autonomes. Dans ces scénarios, le traitement des données à la périphérie du réseau permet d’obtenir des performances supérieures, une meilleure efficacité énergétique et une sécurité améliorée en limitant la quantité de données sensibles transmises ou stockées en dehors du site local.