Origine : bjCSIRT

Numéro : 2026/ALERTE/056

APERÇU :

Une vaste opération de compromission d’identifiants à l’échelle mondiale, baptisée « FortiBleed », affecte actuellement plus de 86 000 pare-feux et passerelles VPN Fortinet. Elle permettrait à des acteurs malveillants d’obtenir des accès administratifs et réseau non autorisés sur les systèmes exposés.

DESCRIPTION

Fortinet développe des équipements de sécurité réseau, dont les pare-feux FortiGate, destinés à sécuriser les réseaux contre les intrusions et les attaques. Ils intègrent la fonctionnalité VPN SSL permettant aux utilisateurs d’établir des connexions sécurisées à distance en utilisant le protocole SSL/TLS. 

Le 16 juin 2026, des chercheurs de SOCRadar ont identifié l’infrastructure opérationnelle d’un groupe d’attaquants menant une campagne de compromission visant des équipements appartenant à des entreprises, opérateurs télécoms, établissements de santé, universités et infrastructures critiques. 

L’attaque repose sur un processus entièrement automatisé consistant à balayer Internet afin d’identifier les interfaces VPN et d’administration Fortinet accessibles, puis à utiliser des identifiants issus de compromissions antérieures pour mener des attaques par force brute et de type « credential stuffing ». Les combinaisons identifiant/mot de passe valides sont automatiquement vérifiées, après quoi les équipements compromis sont utilisés comme points d’écoute pour intercepter et collecter d’autres identifiants transitant sur le réseau. Ces nouveaux identifiants sont ensuite réinjectés dans le cycle d’attaque, permettant ainsi d’étendre continuellement la campagne de compromission. 

Cette compromission permettrait à un acteur malveillant d’utiliser les accès administratifs légitimes pour s’introduire de manière furtive sur les réseaux internes et prendre le contrôle total du périmètre de sécurité.

IMPACT

• Accès non autorisé aux réseaux internes et aux interfaces d’administration ;
• Élévation de privilèges et création de portes dérobées (backdoors) ; 
• Atteinte à la confidentialité des données ; 
• Compromission de l’intégrité globale du système ;
• Risque d’espionnage. 

SYSTEMES AFFECTÉS 

Équipements Fortinet FortiGate (pare-feux NGFW et passerelles SSL VPN) exposés sur Internet et/ou utilisant des mots de passe par défaut ou des identifiants issus d’anciennes compromissions. 

 MESURES À PRENDRE :

• Vérifier l’exposition de l’organisation via les portails d’analyse d’empreinte FortiBleed mis à disposition par la communauté (SOCRadar, Hudson Rock) ;
• Procéder à une revue de tous les comptes présents sur les systèmes affectés ;
• Restreindre l’accès à l’interface d’administration du pare-feu depuis internet de sorte qu’elle soit accessible uniquement depuis le réseau interne ;
• Désactiver la fonctionnalité VPN SSL si elle n’est pas indispensable ;
• Forcer la rotation de l’ensemble des mots de passe pour tous les comptes administrateurs et utilisateurs VPN ; 
• Activer et rendre obligatoire l’authentification multifacteur (MFA) pour tous les accès distants et administratifs. 

RÉFÉRENCES :

• https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/
• https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8
• https://arcticwolf.com/resources/blog/active-fortibleed-campaign-impacting-fortinet-devices-across-194-countries/
• https://www.hkcert.org/security-bulletin/security-alert-fortibleed-credential-leak-incident-over-70-000-fortinet-devices-suspected-to-be-affected-by-data-and-credential-exposure-hong-kong-organisations-may-be-affected_20260618