Le 17 juin 2026, un jeu d'identifiants est devenu public, ce qui n'aurait dû surprendre personne et a pourtant alarmé tout le monde. Le chercheur Volodymyr « Bob » Diachenko a trouvé un serveur exposé sur Internet contenant des noms d'utilisateur, des adresses e-mail et des mots de passe en clair pour des dizaines de milliers de pare-feu Fortinet FortiGate. Kevin Beaumont a récupéré le jeu de données, l'a analysé avec Hudson Rock et a confirmé ce que personne ne voulait entendre : les identifiants étaient valides. La campagne a été baptisée FortiBleed.
Les chiffres racontent l'histoire. 73 932 URL FortiGate uniques réparties sur 194 pays, liées à 21 632 domaines, ce qui, d'après les relevés Shodan, représente environ la moitié de tous les pare-feu Fortinet actuellement exposés sur l'Internet public. Les organisations concernées ne sont pas des amateurs : Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture, Oracle, PwC, sans compter des agences gouvernementales et des opérateurs d'infrastructures critiques. Au moins quatre organisations ont été entièrement compromises, au Japon, à Taïwan, au Vietnam, en Irak et en Turquie, les attaquants se déplaçant de machine en machine à l'intérieur du réseau. Le cas le plus grave touche un sous-traitant turc de la défense, membre de l'OTAN, chez qui des documents classifiés ont été exfiltrés. L'activité est attribuée à un groupe criminel russophone à plusieurs opérateurs.
L'ironie s'écrit d'elle-même. Le pare-feu, le seul appareil dont la mission est de tenir les intrus à la périphérie, est devenu la porte grande ouverte de cette périphérie.
Ce qui s'est réellement passé, techniquement
Il n'y a ici aucune faille nouvelle, et c'est important. La collecte remonte à CVE-2022-40684, le contournement d'authentification de FortiOS que Fortinet a corrigé en octobre 2022 et qui a été massivement exploité avant que la plupart des organisations n'appliquent le correctif. Les identifiants récupérés pendant cette vague de 2022 circulent depuis dans des forums criminels privés. FortiBleed, c'est ce stock, rafraîchi : les opérateurs ont intercepté l'authentification SSL-VPN, récupéré les empreintes des mots de passe et les ont cassées sur une grappe de 45 cartes graphiques pilotée par Hashtopolis. Ils ont ensuite rejoué les mots de passe récupérés contre des équipements actifs, totalisant 1,16 milliard de tentatives de connexion contre 320 000 appareils FortiGate et 2,1 milliards de plus en parallèle contre 160 000 serveurs Microsoft SQL, puis ont fait passer les identifiants valides jusqu'à l'Active Directory, l'annuaire qui gouverne chaque compte Windows de l'organisation.
La réponse de Fortinet est techniquement exacte et stratégiquement à côté du sujet. L'entreprise présente FortiBleed comme des données recyclées d'incidents passés assorties de force brute, et non comme une faille inédite dans ses produits. C'est vrai. Mais les appareils sont toujours en ligne, et un mot de passe recyclé ouvre une porte bien réelle aussi longtemps que personne ne le change. Dans un grand parc, renouveler chaque identifiant VPN et administrateur ne se fait pas en claquant des doigts, ce qui est précisément la raison pour laquelle les attaquants ont parié que cela marcherait encore. Ils avaient raison.
Quels cadres réglementaires s'appliquent, et ce qu'ils exigent
Ce n'est pas une note technique de second rang ; cela s'inscrit en plein dans trois régimes auxquels les organisations concernées répondent déjà.
Le règlement européen sur la résilience opérationnelle numérique (DORA) lie les entités financières. Son pilier de gestion du risque lié aux TIC (articles 5 à 15) exige une authentification forte et un contrôle d'accès sur les points d'entrée distants (article 9) ainsi qu'une capacité de réponse aux incidents testée et documentée (article 11). DORA ne se satisfait pas d'un « nous avons corrigé la CVE de 2022 » comme preuve de résilience ; il demande si l'exposition résiduelle a été identifiée, quantifiée et gouvernée. La directive sur la sécurité des réseaux et des systèmes d'information 2 (NIS2) couvre une population bien plus large, dont l'énergie, les transports, l'industrie, l'infrastructure numérique et l'administration publique, et son article 21 nomme explicitement l'authentification multifacteur, le contrôle d'accès et la gestion des actifs parmi les mesures de base, les organes de direction étant personnellement responsables au titre de l'article 20. ISO/IEC 27001:2022 formule les mêmes contrôles comme des obligations de l'annexe A : A.5.17 (informations d'authentification), A.8.5 (authentification sécurisée), A.5.15 (contrôle d'accès) et A.8.9 (gestion de la configuration). Pour le sous-traitant de la défense membre de l'OTAN, une quatrième couche s'applique : des obligations de sécurité de la chaîne d'approvisionnement de défense au titre desquelles l'exfiltration de matériel classifié est un événement déclarable, de niveau souverain, et non une simple violation commerciale.
Quels contrôles ont échoué
Ôtez l'échelle spectaculaire et FortiBleed se réduit à une courte liste d'interrupteurs laissés en position ARRÊT. L'authentification multifacteur sur les accès distants était absente ou incomplète, et c'est le seul contrôle qui rend un mot de passe volé inerte, celui dont la présence sépare un non-événement d'une brèche. La rotation des identifiants ne s'est jamais déclenchée après la compromission de 2022, si bien que des mots de passe ayant fuité quatre ans plus tôt s'authentifiaient encore en juin 2026. L'hygiène des correctifs et de la configuration a accusé un retard sur la fenêtre initiale de CVE-2022-40684 assez long pour que la collecte réussisse. La segmentation réseau entre la périphérie VPN et le cœur Active Directory était mince ou absente, transformant un unique appareil compromis en déplacement latéral à l'échelle du domaine. Et sous tout cela, la visibilité des actifs a fait défaut : les organisations n'avaient pas de vue faisant autorité et à jour indiquant lesquels de leurs appareils FortiGate étaient exposés sur Internet, sous quel micrologiciel, avec quels comptes et quelle posture d'authentification. On ne peut ni renouveler, ni segmenter, ni imposer la MFA sur une exposition que l'on ne voit pas.
Ce que les outils de CCI auraient changé
Aucun des quatre contrôles ci-dessus n'exigeait une nouvelle catégorie de produit. Ils exigeaient que l'exposition soit vue, chiffrée et prouvée en continu, ce qui est précisément la lacune que comblent les instruments de CCI.
EviGen aurait répondu à la seule question qui compte avant que les attaquants ne la posent : la MFA est-elle imposée sur chaque compte SSL-VPN et administrateur, sur chaque appareil, en ce moment même ? EviGen collecte automatiquement cette preuve de configuration sur l'ensemble du parc et l'empaquette en fonction du cadre comme l'artefact attendu par l'article 9 de DORA, l'article 21 de NIS2 et A.8.5 d'ISO, généré en continu plutôt que reconstitué dans la panique. Une lacune dans la couverture MFA devient un constat daté et signé la semaine où elle s'ouvre, et non une découverte d'investigation après exfiltration.
NetDiagramer aurait dessiné le chemin que les attaquants ont réellement emprunté. Il cartographie les zones de pare-feu et les dépendances inter-couches à partir de l'inventaire vivant, faisant apparaître chaque FortiGate exposé sur Internet et, surtout, l'itinéraire de la périphérie SSL-VPN jusqu'au cœur Active Directory. L'adjacence à plat entre périphérie et domaine, qui a rendu quatre organisations entièrement compromettables, est exactement ce qu'une topologie générée automatiquement au titre de l'article 8 de DORA et de l'article 21 de NIS2 expose comme un constat plutôt que comme un schéma d'autopsie.
cVaR aurait transformé un « vieux identifiants, sans doute sans gravité » en un chiffre digne d'un conseil d'administration. En appliquant la méthode FAIR et la simulation de Monte-Carlo sur l'inventaire des actifs, il chiffre le scénario « un identifiant VPN exposé sur Internet est rejoué et pivote vers l'AD » sous forme de courbe de dépassement de pertes en euros. Une exposition résiduelle qui se lit comme une vague inquiétude dans un registre des risques se lit comme une valeur en risque conditionnelle sur un tableau de bord cVaR, et des euros résiduels se font renouveler là où des inquiétudes résiduelles se font reporter.
DORA-MAST en aurait fait un scénario testé plutôt qu'une surprise. Il fait jouer la perturbation, la réutilisation d'identifiants sur la périphérie d'accès distant, contre le modèle, calcule l'impact de résilience et documente le test au titre du programme de tests des articles 24 à 31 de DORA, y compris le risque de concentration sur un tiers que représente le fait de miser toute la périphérie sur un seul fournisseur d'appareils.
Prévoir l'exposition, la chiffrer, prouver le contrôle, répéter la défaillance. La plaie de 2022 était connaissable. Les identifiants ayant fuité étaient connaissables. La lacune MFA était connaissable. FortiBleed n'a pas exploité une faille dans le code de Fortinet. Il a exploité la distance entre un contrôle qu'une organisation possédait et un contrôle qu'une organisation pouvait prouver activé. Comblez cette distance et le mot de passe recyclé n'ouvre plus rien.
Si votre domaine figure déjà sur la liste : obtenir de l'aide vite
Les outils ci-dessus décrivent une posture qu'une organisation construit avant un incident. FortiBleed, pour beaucoup des 21 632 domaines exposés, n'est pas un risque futur mais un risque présent, et la vraie question est quoi faire cette semaine. Deux capacités distinctes de CCI s'appliquent, et il vaut la peine d'être précis sur ce que fait chacune.
La première, c'est le leadership sous pression. Le RSSI en tant que service de CCI s'appuie sur un vivier de huit praticiens certifiés CISSP ou plus, aux parcours délibérément non redondants, dans la banque, la défense, les télécoms et l'énergie. Pour une organisation qui vient de découvrir ses identifiants dans le jeu de données FortiBleed, le mode pertinent est la couverture intérimaire ou à la demande : un responsable sécurité redevable qui peut trier l'exposition, informer un conseil et répondre aux questions d'un régulateur au titre de l'article 11 (DORA) ou de l'article 23 (NIS2) pendant que l'équipe interne exécute la rotation. Nous n'auditons pas là où nous dirigeons, de sorte que l'indépendance est préservée par conception.
La seconde, c'est la vitesse d'ingénierie. Les personnes qui ont construit EviGen, NetDiagramer, cVaR et DORA-MAST ne sont pas un fournisseur tiers ; ce sont une équipe interne de recherche et développement composée d'universitaires, de chercheurs de niveau doctoral et d'ingénieurs sécurité. Cela compte sur le plan opérationnel, car la remédiation de FortiBleed est, à grande échelle, un problème d'outillage : recouper l'ensemble du parc FortiGate d'une organisation avec la liste publiée des domaines exposés, forcer la rotation des identifiants sur des centaines d'appareils, puis prouver que l'authentification multifacteur est imposée sur chaque compte restant. C'est exactement le type d'instrument de redressement sur mesure que ces mêmes ingénieurs peuvent mettre debout rapidement, parce que les primitives sous-jacentes, dont l'ingestion d'inventaire, la collecte de preuves de configuration et la cartographie de topologie, existent déjà comme produits livrés plutôt que comme présentations. Le cadrage honnête est une capacité, pas un chronomètre contractuel : l'équipe qui a industrialisé ces primitives peut les composer en un outil de remédiation ciblé bien plus vite qu'une équipe qui découvre le problème. Si FortiBleed a atteint votre parc, la voie la plus rapide vers une réponse cadrée est de parler à un praticien.
La plaie qui ne s'est jamais refermée
Le frelon ne change pas ; la colonie, si. Les identifiants que les clients de Fortinet ont perdus en 2022 n'allaient jamais expirer d'eux-mêmes, parce que les mots de passe ne se cicatrisent pas. Ce qui a changé, pour la moitié du parc encore exposée, c'est rien : mêmes appareils, mêmes mots de passe, même chemin à plat jusqu'au domaine. Le correctif est sans gloire et entièrement à portée. Imposer la MFA, renouveler maintenant, segmenter la périphérie par rapport au cœur, et tenir une preuve continue que ces trois choses sont vraies. Les attaquants parient que vous lirez ceci, hocherez la tête et le reporterez au trimestre prochain. Ils ont un palmarès de quatre ans qui leur donne raison sur ce point.
Acronymes
| Acronyme | Forme développée (anglais) | Traduction française |
|---|---|---|
| AD | Active Directory | Active Directory (annuaire des comptes) |
| CVE | Common Vulnerabilities and Exposures | Vulnérabilités et expositions communes |
| CVSS | Common Vulnerability Scoring System | Système commun de notation des vulnérabilités |
| DORA | Digital Operational Resilience Act | Règlement sur la résilience opérationnelle numérique |
| FAIR | Factor Analysis of Information Risk | Analyse factorielle du risque informationnel |
| GPU | Graphics Processing Unit | Processeur graphique |
| ICT | Information and Communication Technology | Technologies de l'information et de la communication |
| MFA | Multi-Factor Authentication | Authentification multifacteur |
| NIS2 | Network and Information Security Directive 2 | Directive sur la sécurité des réseaux et des systèmes d'information 2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | Réseau privé virtuel à couche de sockets sécurisée |
Références
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj