Une nouvelle campagne de phishing vise les utilisateurs de VPN Fortinet. Des sites pirate imitent à la perfection le portail officiel pour voler les identifiants. Faut faire gaffe : ces arnaques sont plus futées que jamais et exploitent même l’intelligence artificielle.
Une attaque de phishing basée sur l’optimisation SEO et l’IA
Ce qui frappe dans cette attaque, c’est la manière dont les cybercriminels contournent les filtres. Ils partent de domaines réputés comme GitHub pour lancer leur piège. Ce n’est pas seulement du phishing classique : ils font du SEO, et ça marche !
Les moteurs de recherche modernes intègrent désormais des résumés générés par IA. Ces derniers, censés aider l’utilisateur, reprennent en fait le contenu malveillant. Résultat : les victimes cliquent sur un lien sérieux en apparence, comme vpn-fortinet[.]github[.]io, pensant trouver la bonne ressource.
Le mécanisme plus malin que la moyenne
Attention, la campagne utilise une redirection en plusieurs étapes. D’abord un script sur GitHub analyse la provenance du visiteur. Si l’utilisateur vient d’un moteur comme Google, Bing ou DuckDuckGo, il est redirigé vers un vrai site de phishing, fortinet-vpn[.]com.
Les bots de sécurité ou les visiteurs directs ne voient rien de suspect. C’est juste une belle page qui ressemble à Fortinet. Mais il y a un piège : un faux pop-up demande les identifiants VPN avant de proposer le téléchargement.
Comment les identifiants sont subtilisés sans éveiller les soupçons
Après avoir saisi « Remote Gateway », login et mot de passe, les infos partent direct chez les attaquants. Pour que l’utilisateur ne se doute de rien, le site télécharge en fond une vraie version de FortiClient depuis myfiles2[.]download.
Cette double tromperie est rusée. Le logiciel officiel s’installe, mais les pirates ont déjà accès au VPN. Les victimes croient être sur la bonne voie, alors qu’elles viennent de se faire piéger en beauté.
Indices pour détecter cette menace et comment réagir
Le moindre doute doit pousser à vérifier l’adresse. Un site Fortinet officiel se termine toujours par fortinet.com. Pas question de renseigner ses infos avant d’être sûr. Les versions légitimes ne demandent pas d’identifiants pour télécharger un client VPN.
Les équipes IT doivent bloquer les domaines vpn-fortinet[.]github[.]io, fortinet-vpn[.]com, et myfiles2[.]download. Il faut aussi scruter les logs réseau : a-t-on vu des flux vers ces domaines ?
Le piège croissant des résumés IA dans les recherches web
L’IA, trop distraite, reprend parfois n’importe quelle info trouvée en ligne. Ici, elle booste la visibilité du dépôt GitHub malicieux. Le phénomène de “confiance halluciné” devient critique. On croit sur parole un résumé sans vérifier la source réelle.
Ce scénario est un coup de semonce. On ne peut plus faire aveuglément confiance aux fonctionnements automatiques de la recherche en 2026. Soyez toujours curieux, posez-vous la question du “Qui ?” avant de cliquer.
Source: cybersecuritynews.com
- Microsoft élimine-t-il vraiment les pilotes d’imprimantes sous Windows 11 ? Décryptage - février 10, 2026
- Windows 11 met fin au support des anciens pilotes d’impression - février 10, 2026
- Citi Confirme son Achat sur CrowdStrike Holdings, Inc. (CRWD) et Revise son Objectif à la Hausse Grâce à l’Essor des Dépenses en Cybersécurité - février 10, 2026
