Points clés à retenir :
Une vaste campagne de collecte d'identifiants a compromis plus de 73 000 URLs de pare-feux et de passerelles VPN Fortinet dans 194 pays, offrant aux attaquants un accès persistant à certaines des plus grandes entreprises mondiales.
Des cybercriminels ont systématiquement pénétré des dizaines de milliers d'appareils Fortinet utilisés par des entreprises telles que Foxconn, Samsung, Siemens, Lenovo, Oracle, PwC, Accenture et Comcast, selon des rapports des sociétés de cybersécurité SOCRadar et Hudson Rock. Baptisée FortiBleed, cette campagne ne repose pas sur des exploits zero-day, mais sur le recyclage d'identifiants et le « password spraying » contre les interfaces de gestion et VPN Fortinet exposées.
« Les attaquants scrutent Internet à la recherche d'appareils Fortinet, essaient une liste prédéfinie de mots de passe connus sur chacun d'eux et enregistrent chaque connexion réussie », a déclaré SOCRadar dans un rapport publié le 16 juin. « Une fois qu'un appareil est compromis, ils l'utilisent comme poste d'écoute, surveillant le trafic qui le traverse et collectant les identifiants supplémentaires qui passent. »
SOCRadar a identifié plus de 30 791 appareils compromis, répartis sur 21 108 adresses IP uniques et 8 316 domaines uniques, touchant les secteurs gouvernemental, des télécommunications, de la santé, de l'éducation, des services financiers et des infrastructures critiques. L'analyse d'Hudson Rock a estimé le chiffre à 73 932 URLs Fortinet uniques, sur la base d'un ensemble de données signalé pour la première fois par le chercheur en sécurité Volodymyr Diachenko. Les attaquants auraient mené environ 1,16 milliard de tentatives basées sur des identifiants contre plus de 320 000 cibles FortiGate, tout en lançant simultanément 2,1 milliards de tentatives par force brute contre 160 000 serveurs MSSQL.
La sophistication technique de l'opération va au-delà du simple bourrage d'identifiants. Une fois à l'intérieur d'un appareil, les attaquants interceptent les hachages d'authentification SSL VPN et les craquent hors ligne à l'aide d'un cluster dédié de 45 GPU géré via Hashtopolis, selon Hudson Rock. Les appareils compromis servent ensuite de postes d'écoute qui récoltent des identifiants supplémentaires à partir du trafic transitant, créant ainsi un cycle auto-renforcé d'accès non autorisé. L'Inde et les États-Unis représentaient près d'un tiers de l'ensemble des compromissions d'identifiants identifiées, le secteur des télécommunications étant le plus touché avec plus de 5 600 appareils, et les agences gouvernementales représentant 591 systèmes compromis dans 111 domaines.
Une machine d'attaque auto-suffisante
Les attaquants ont laissé un serveur opérationnel exposé, donnant aux chercheurs une visibilité sur leur infrastructure et leur base de données de victimes. SOCRadar a indiqué que les preuves techniques pointent vers des acteurs malveillants russophones, notant que la sélection des victimes était « fortement orientée vers les organisations des pays membres de l'OTAN ». Parmi les données récupérées figuraient des identifiants pour ce qui semble être un point d'accès VPN de l'industrie de la défense, suggérant des motivations allant au-delà du simple gain financier.
La caractéristique la plus frappante de cette campagne est ce qui lui manque : l'absence d'exploitation d'une vulnérabilité Fortinet. « Il n'y a pas de zero-day, pas d'exploit, pas de véritable "fuite" », a déclaré Waseem Ahmed, responsable de l'ingénierie chez Secure.com. « Malgré son nom, il ne s'agit pas d'une vulnérabilité mais d'un tas d'identifiants divulgués lors de précédentes brèches chez Fortinet, renvoyés contre des organisations qui n'ont jamais pris la peine de les changer. »
Par ailleurs, la société de sécurité Defused a observé l'exploitation active de trois vulnérabilités récemment corrigées de Fortinet FortiSandbox — CVE-2026-39808, CVE-2026-39813 et CVE-2026-25089 — dans des attaques apparues sur des honeypots en juin. Les deux premières ont été jugées critiques et corrigées en avril ; la troisième a été traitée dans la mise à jour de juin de Fortinet. Defused a noté que l'exploit pour CVE-2026-25089 semblait avoir été créé à l'aide d'une IA et ne fonctionnait pas initialement lors de sa première observation.
Implications pour les investisseurs
Les actions Fortinet sont confrontées à des vents contraires alors que l'ampleur de la campagne FortiBleed soulève des questions sur la posture de sécurité des produits de l'entreprise et la confiance de ses clients. Les entreprises générant plus d'un milliard de dollars de revenus annuels représentaient plus de 20 % des appareils concernés, selon SOCRadar — précisément la base de clients qui alimente les revenus récurrents à forte marge de Fortinet. Ses pare-feux et passerelles VPN font partie des appliances de sécurité réseau les plus déployées au monde, ce qui en fait une cible persistante. Hudson Rock a lancé un portail de vérification permettant aux organisations de vérifier si leurs domaines apparaissent dans l'ensemble de données compromises, et SOCRadar a exhorté les entreprises concernées à « considérer votre périmètre réseau comme déjà compromis et à agir immédiatement. »
Cet article est fourni à titre d'information uniquement et ne constitue pas un conseil en investissement.
