FortiBleed : une campagne massive de vol d’identifiants cible 73 000 pare-feu Fortinet dans 194 pays

Méthode d'exploitation : pas de zero-day, juste une mauvaise hygiène

Malgré un nom qui évoque Heartbleed, FortiBleed n'a rien à voir avec une vulnérabilité logicielle. Plusieurs firmes de sécurité — dont TechCrunch, SOCRadar, Hudson Rock et Arctic Wolf — ont confirmé qu'aucune vulnérabilité inconnue (zero-day) n'a été utilisée .

Les attaquants ont suivi une approche en deux étapes, typique d'une attaque sur la chaîne d'approvisionnement :

• Étape 1 : Vol d'identifiants via des infostealers. Les identifiants des interfaces d'administration et des portails VPN Fortinet ont été dérobés depuis des postes employés ou administrateurs infectés par des logiciels malveillants de type infostealer .
• Étape 2 : Craquage des hachages de mots de passe à partir de configurations exposées. Une fois l'accès initial obtenu, les attaquants ont extrait les fichiers de configuration des appareils FortiGate connectés à Internet et ont craqué les hachages des mots de passe SSL VPN stockés à l'aide d'un cluster de 45 GPU, en exploitant des mots de passe faibles ou jamais changés .

SOCRadar a confirmé que les attaquants avaient accumulé au moins 30 791 identifiants de travail vérifiés à partir d'appareils FortiGate exposés sur Internet . L'analyse indépendante d'Arctic Wolf a corroboré les estimations, situant le nombre d'appareils compromis entre 30 000 et 75 000 .

Victimes de haut profil

Parmi les victimes confirmées par plusieurs rapports, on trouve Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens et PwC, ainsi que des agences gouvernementales d'au moins 15 pays . Reuters a rapporté que la majorité des appareils compromis se trouvaient aux États-Unis, en Inde et à Taïwan .

Les secteurs les plus touchés, selon les données analysées, sont :

• Les services IT (fournisseurs de services managés, opérateurs cloud)
• Les matériaux de construction (grands fournisseurs multinationals)
• Les télécommunications (opérateurs de premier plan et FAI)

Plusieurs sources identifient ces trois secteurs comme les plus impactés .

Attaques simultanées connexes

Parallèlement à FortiBleed, les chercheurs ont observé 2,1 milliards de tentatives de connexion par force brute contre plus de 160 000 serveurs MSSQL exposés sur Internet, que l'on pense orchestrées par le même groupe .

Attribution

SOCRadar et Hudson Rock attribuent tous deux la campagne à un groupe menaçant russophone multi-opérateurs . Les attaquants maintenaient une infrastructure back-end active — incluant des tâches planifiées, de la télémétrie et des boucles de collecte d'identifiants en direct — sur les appareils compromis, indiquant une opération sophistiquée et continue, et non un simple vol de données ponctuel .

Mesures de réponse recommandées

Les firmes de sécurité, dont Hudson Rock, Arctic Wolf et Fortinet, recommandent les actions immédiates suivantes pour toute organisation utilisant des appareils Fortinet :

• Forcer la rotation immédiate des identifiants pour tous les comptes admin FortiGate et VPN SSL .
• Imposer l'authentification multifacteur (MFA) pour chaque connexion VPN — c'est la mesure la plus efficace contre le credential stuffing .
• Auditer les journaux des appareils pour détecter des exports de configuration non autorisés, des tâches cron inconnues et des sessions VPN anormales .
• Restreindre l'accès aux interfaces d'administration aux seules IP de confiance ; ne jamais laisser l'UI d'admin ou le SSH exposés sur l'Internet public .

Portail de vérification gratuit

Hudson Rock a lancé un portail de vérification gratuit permettant à toute organisation de rechercher son nom de domaine dans le dump d'identifiants des 73 932 appareils. Cet outil a été largement diffusé les 17 et 18 juin 2026 .