Un seul individu, des outils IA grand public, et 600 firewalls compromis en 5 semaines dans 55 pays. C'est le bilan d'une campagne de cyberattaque documentée par Amazon, qui illustre comment l'IA générative démocratise le piratage à grande échelle.
L'attaque : du 11 janvier au 18 février 2026
Le hacker — russophone, de niveau technique « moyen à faible » selon Amazon — a ciblé des firewalls FortiGate exposés sur Internet. Sa méthode : scanner les interfaces de gestion accessibles (ports 443, 8443, 10443, 4443), puis tester des identifiants faibles sur les systèmes sans authentification multi-facteurs.
Une fois dans la place, il a extrait les credentials SSL-VPN, les comptes admin, les politiques de pare-feu et la topologie réseau.
ARXON : un serveur MCP au service du piratage
L'innovation de l'attaquant s'appelle ARXON — un serveur Model Context Protocol (MCP) qui injecte les données volées dans des LLM commerciaux. Le système interrogeait Claude (d'Anthropic) et DeepSeek pour générer des plans d'attaque structurés : gain de privilèges Domain Admin, emplacements de credentials, étapes d'exploitation, mouvement latéral.
Un second outil, CHECKER2, orchestrait le scan parallèle de plus de 2 500 endpoints VPN dans plus de 100 pays via des conteneurs Docker.
Des scripts IA reconnaissables
Les chercheurs d'Amazon et du collectif Cyber and Ramen ont identifié les scripts comme étant générés par IA : commentaires redondants, design simpliste, parsing JSON fragile, gestion d'erreur minimale. Le hacker ne raffinait pas le code — il l'exécutait tel quel.
« Une chaîne de montage du cybercrime »
CJ Moses, CISO d'Amazon, résume : « C'est comme une chaîne de montage du cybercrime alimentée par l'IA, qui permet à des travailleurs peu qualifiés de produire à l'échelle. » L'attaquant échouait systématiquement dès qu'il rencontrait des défenses solides — mais sur 600+ cibles mal protégées, le volume a suffi.
Leçons pour les entreprises
Amazon recommande de ne jamais exposer les interfaces de gestion sur Internet, d'activer le MFA sur tous les comptes admin et VPN, et de durcir les infrastructures de sauvegarde (Veeam, QNAP) — cibles prioritaires de l'attaquant. Le message est clair : l'IA ne crée pas de nouvelles vulnérabilités, mais elle accélère massivement l'exploitation de celles qui existent.
