Un pirate russophone a utilisé de simples outils d’IA générative du commerce pour compromettre plus de 600 appareils FortiGate dans 55 pays, selon l’équipe de recherche en sécurité d’AWS. L’activité malveillante a été observée entre le 11 janvier et le 18 février 2026.
Selon AWS, l’attaquant a systématiquement recherché les ports de gestion exposés à Internet et s’est connecté à l’aide d’identifiants basés sur des mots de passe couramment réutilisés. Ainsi, plutôt que d’exploiter des failles zero-day, le hacker a simplement tiré parti d’interfaces de gestion exposées et d’identifiants faibles, l’IA permettant des intrusions parallèles à grande échelle.
Les appareils FortiGate développés par la société Fortinet sont des pare-feu d’entreprise qui servent souvent de passerelles VPN et de dispositifs de sécurité périmétrique. Comme ils stockent des identifiants de VPN, des mots de passe administratifs et des données de topologie du réseau, ce sont des cibles privilégiées par les pirates lorsqu’ils sont mal configurés ou exposés à Internet.
Le rapport de l’équipe d’AWS souligne les limites techniques du pirate. Lorsqu’il rencontrait des systèmes corrigés, des ports fermés ou des environnements renforcés, l’attaquant échouait et passait à autre chose. Ses outils présentaient les caractéristiques d’un code généré par l’IA, « notamment des commentaires redondants, une logique d’analyse syntaxique fragile et une architecture simpliste ». AWS estime que l’attaquant « possède des compétences de base faibles à moyennes, largement complétées par l’IA pour les tâches de planification, de script et de reporting ».