Centre de cyber sécurité

En cas d’urgence: 04 20 97 00 97

Bulletin de veille 2026#9 : fuite massive d’authentifiants Fortinet

par Analyste | 24 Juin 2026

DALL·E 2024-04-23 09.04.47 – Replace the previous visuals with a clear depiction of a progress bar typical of software installation on the computer screen, indicating an ongoing u

⚡ L’essentiel en 30 secondes

🚨 ALERTE MAXIMALE — FortiBleed : une campagne de compromission baptisée FortiBleed a exposé les identifiants d’accès de 75 000 pare-feux et passerelles VPN Fortinet dans 194 pays. Si votre organisation utilise un équipement Fortinet (FortiGate, pare-feu, passerelle VPN), vous devez agir immédiatement, même si vos correctifs sont à jour.

🔴 ALERTE CRITIQUE — « FortiBleed » : fuite massive d’authentifiants Fortinet

📋 Situation

FortiBleed est le nom donné à une fuite de données regroupant un volume important d’identifiants VPN Fortinet et FortiGate — noms d’utilisateurs, adresses email et mots de passe stockés en clair — associés à 73 932 adresses de pare-feux.

Les attaquants, un groupe russophone, ont mené des balayages automatisés d’une ampleur inédite — plus d’un milliard de tentatives de connexion sur environ 320 000 cibles potentielles — puis ont déchiffré hors ligne les mots de passe des administrateurs à l’aide de clusters GPU, à l’abri des systèmes de détection habituels.

Point critique : bien que Fortinet ait introduit un système de hachage renforcé (PBKDF2), cette protection ne devenait active qu’après une nouvelle authentification de l’administrateur suite à la mise à jour. En l’absence de cette reconnexion, de nombreux appareils ont continué à stocker leurs accès sous une forme obsolète et vulnérable.

⚠️ Ce n’est pas une vulnérabilité logicielle classique avec une CVE. Cette fuite concerne également les appareils disposant des correctifs les plus récents si la procédure de re-hachage des mots de passe n’a pas été appliquée après mise à jour.

🖥️ Systèmes et organisations concernés

Équipements ciblés :

Pare-feux FortiGate et passerelles VPN Fortinet
Tous les appareils dont l’interface d’administration ou les accès VPN sont exposés directement sur Internet

Ampleur mondiale : Les pirates ont mené environ 1,16 milliard de tentatives d’usurpation d’identité sur 320 777 cibles FortiGate. La base de données contient des entrées pour des sociétés comme Chevron, Samsung, Foxconn, AT&T, Mercedes-Benz, Toyota, ainsi que plusieurs organisations gouvernementales.

L’agence américaine CISA a émis un avertissement officiel : des cyberacteurs malveillants ciblent les appareils Fortinet accessibles via Internet au sein d’organisations gouvernementales et privées, en utilisant ces identifiants volés.

✅ Actions immédiates à mener — par ordre de priorité

Principe de départ : traiter votre équipement comme compromis par défaut.

ÉTAPE 1 — Vérifier votre exposition (< 1 heure)

Utiliser l’outil de vérification gratuit d’Hudson Rock : https://www.hudsonrock.com/fortinet
Vérifier si vos URL de pare-feux ou domaines apparaissent dans la base FortiBleed

ÉTAPE 2 — Couper et isoler (immédiat)

Fermer toutes les sessions administratives et VPN SSL actives
Restreindre l’accès aux interfaces d’administration depuis Internet — privilégier un canal de gestion interne sécurisé

ÉTAPE 3 — Réinitialiser les accès (dans les 24h)

Modifier immédiatement tous les mots de passe des comptes administrateurs et des comptes à privilèges
Réinitialiser tous les mots de passe VPN
Forcer le renouvellement de tous les secrets et clés API

ÉTAPE 4 — Forcer le re-hachage (critique)

Vérifier que la dernière version FortiOS préconisée est installée
Forcer une reconnexion avec modification de mot de passe pour contraindre le système à utiliser le chiffrement renforcé (PBKDF2) — cette étape est indispensable même si les correctifs sont déjà appliqués

ÉTAPE 5 — Activer le MFA (dans les 48h)

Activer l’authentification multifactorielle résistante au phishing sur toutes les connexions VPN et les interfaces d’administration, sans exception

ÉTAPE 6 — Auditer les journaux

Rechercher des connexions de comptes d’administration réussies suspectes ou inhabituelles (horaires incohérents, adresses IP inconnues, rebonds vers l’Active Directory)
Vérifier qu’aucun compte illégitime ou règle de pare-feu illégitime n’a été créé pour servir de porte dérobée
Rechercher des traces de mouvements latéraux ou d’accès persistants

⚖️ Obligations réglementaires à ne pas négliger

Pour les organisations européennes, FortiBleed crée une double pression réglementaire. Une violation de données résultant de cet incident déclenche l’obligation de notification à l’autorité de protection des données compétente dans un délai de 72 heures (article 33 du RGPD). Les opérateurs de services essentiels couverts par NIS2 ont des obligations additionnelles avec des délais encore plus stricts et des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

Pour les collectivités et associations corses concernées : contactez-nous immédiatement, nous pouvons vous accompagner dans la qualification de l’incident et la notification CNIL.

📚 Sources

Source	Lien

CISA — Alerte officielle	cisa.gov
Hudson Rock — FortiBleed Tracker	hudsonrock.com/fortinet
Centre canadien pour la cybersécurité	cyber.gc.ca — AL26-014
DoublePulsar — Analyse technique	doublepulsar.com
SOCRadar	socradar.io/blog/fortibleed

📞 En cas d’incident cyber ou de doute sur votre exposition FortiBleed : contactez le CSIRT CyberCorsica dès les premiers signes de compromission.

🛡️ Bénéficiaire du CSIRT : inscrivez-vous gratuitement pour un scan de vulnérabilités offert sur votre surface exposée.

📣 Sensibilisation : matinées gratuites pour les collectivités, associations et entreprises.

📧 contact@cyber.corsica | ☎️ 04 20 97 00 97 | 🌐 cyber.corsica

Dernières publications du CSIRT cyber Corsica

Bulletins de veille

Actualités