Une vaste campagne de cyberattaques, baptisée FortiBleed, a compromis les identifiants VPN de quelque **75 000 pare-feu FortiGate** de Fortinet, selon Numerama. Ces attaques, repérées dès le 16 juin 2026, concernent **194 pays** et ont touché de grandes entreprises comme Samsung, Siemens ou Oracle. Le chercheur en cybersécurité **Volodymyr « Bob » Diachenko**, qui a alerté sur cette faille, estime que **quatre organisations** ont été entièrement infiltrées, dont un contractant de défense de l’OTAN en Turquie, où des documents classifiés auraient été exfiltrés.

Ce qu'il faut retenir

  • **75 000 pare-feu FortiGate** touchés par la campagne FortiBleed, répartis dans **194 pays**, selon Numerama.
  • **Quatre organisations entièrement compromises**, dont un contractant de l’OTAN en Turquie, avec exfiltration de données classifiées.
  • Les attaquants ont intercepté **1,16 milliard de tentatives d’authentification** sur 320 777 équipements FortiGate et **2,1 milliards** sur 163 650 serveurs MSSQL.
  • Le mode opératoire repose sur le vol d’empreintes de mots de passe VPN SSL, puis leur cassage via **45 cartes graphiques** et l’outil **Hashtopolis**. Les identifiants récupérés permettent ensuite d’accéder à l’Active Directory et de se déplacer latéralement dans les réseaux ciblés.
  • Fortinet rejette l’hypothèse d’une faille inédite, évoquant un recyclage de données issues d’incidents passés et des attaques par force brute.
  • Les chercheurs en cybersécurité confirment la validité de certains identifiants, y compris sur des équipements fonctionnant avec des firmwares récents.

Une campagne aux conséquences majeures pour les entreprises

La gravité de FortiBleed réside dans sa cible : les **pare-feu FortiGate**, des équipements chargés de filtrer l’accès aux réseaux d’entreprise et souvent utilisés comme point d’entrée VPN pour les salariés en télétravail. Selon Volodymyr Diachenko, cette campagne aurait généré **1,16 milliard de tentatives d’authentification** visant **320 777 pare-feu** et **2,1 milliards** ciblant **163 650 serveurs MSSQL**. Ces chiffres illustrent l’ampleur d’une attaque qui, une fois les identifiants VPN obtenus, ouvre la porte à une infiltration en profondeur des infrastructures informatiques.

Le chercheur souligne que **quatre organisations** ont été entièrement compromises, avec des conséquences particulièrement préoccupantes pour un contractant de défense de l’OTAN en Turquie. « *Les attaquants ont exfiltré des documents classifiés* », affirme-t-il, sans préciser l’identité de l’organisation concernée. Ces révélations interviennent alors que Fortinet, contacté par Numerama, minimise la portée de l’incident. L’entreprise évoque un « *recyclage de données issues d’incidents passés* » et des attaques par force brute classiques, excluant l’hypothèse d’une faille inédite dans ses produits.

Un mode opératoire sophistiqué et des outils détournés

Selon les analyses de Volodymyr Diachenko, la campagne FortiBleed se déroule en trois étapes. D’abord, les pirates interceptent les connexions VPN SSL en récupérant non pas le mot de passe lui-même, mais son **empreinte**, une version brouillée normalement illisible. Ensuite, ils procèdent au **cassage de ces empreintes** à l’aide de **45 cartes graphiques**, habituellement utilisées pour le calcul intensif ou le jeu vidéo. Ces composants, pilotés par l’outil **Hashtopolis**, permettent de tester des milliards de combinaisons par seconde, rendant possibles le décryptage même de mots de passe complexes.

Une fois les identifiants obtenus en clair, les attaquants s’introduisent directement sur le pare-feu ciblé, puis basculent vers l’**Active Directory**, l’annuaire central gérant tous les accès Windows d’une entreprise. « *C’est la porte d’entrée vers tout le reste* », explique le chercheur. Une fois dans l’Active Directory, les pirates peuvent se déplacer discrètement d’une machine à l’autre au sein du réseau, jusqu’à atteindre les données les plus sensibles. Cette technique, appelée **mouvement latéral**, rend la détection particulièrement difficile, même avec des firmwares récents.

Les réactions de Fortinet et des experts en cybersécurité

Fortinet a réagi publiquement après la divulgation de l’affaire, notamment auprès du média britannique The Register. L’entreprise nie toute faille inédite dans ses pare-feu, attribuant les accès non autorisés à un « *recyclage de données issues d’incidents passés* » et à des attaques par force brute classiques. « *Aucune vulnérabilité dans nos produits n’a été exploitée* », a-t-elle affirmé, sans préciser si des correctifs étaient envisagés pour les équipements déjà compromis.

Plusieurs chercheurs en cybersécurité ont en revanche confirmé la validité d’une partie des identifiants volés. « *Nous avons vérifié une partie des données et confirmé leur authenticité* », a indiqué l’un d’eux, sous couvert d’anonymat. Ces experts soulignent que de nombreux pare-feu touchés fonctionnaient avec des firmwares récents, suggérant que les attaques ne reposent pas uniquement sur des failles logicielles obsolètes. Le site **HudsonRock**, qui recense les entreprises potentiellement exposées, a publié une liste partielle des organisations concernées, invitant les responsables informatiques à agir sans délai.

Et maintenant ?

La question centrale reste celle de l’étendue réelle des dégâts. Si Fortinet exclut l’hypothèse d’une faille inédite, les experts soulignent que les identifiants récupérés par les attaquants constituent une **porte d’entrée durable** tant qu’ils ne sont pas modifiés. Les recommandations sont donc immédiates : changer tous les mots de passe associés aux interfaces VPN et d’administration des pare-feu FortiGate, activer l’**authentification à deux facteurs** partout où cela est possible, et examiner les journaux de connexion à la recherche d’activités suspectes. Une enquête plus approfondie pourrait révéler, dans les semaines à venir, l’ampleur réelle des compromissions.

En attendant, les entreprises concernées devraient suivre les consignes du site HudsonRock, qui publie régulièrement des mises à jour sur les systèmes vulnérables. Pour les organisations ayant détecté des activités anormales, une collaboration avec les autorités compétentes, comme l’ANSSI en France ou le CERT aux États-Unis, pourrait s’avérer nécessaire. La rapidité de réaction sera déterminante pour limiter l’impact de cette campagne, qui rappelle une fois de plus l’importance de la vigilance en matière de cybersécurité.

Les pare-feu FortiGate servent souvent de **point d’entrée VPN** pour les salariés en télétravail. En compromettant ces équipements, les attaquants obtiennent un accès direct aux réseaux d’entreprise, puis peuvent se déplacer latéralement via l’Active Directory pour atteindre des données sensibles. Leur rôle central dans l’architecture réseau en fait une cible privilégiée.

Le site **HudsonRock** propose un tableau de bord recensant les entreprises potentiellement exposées. Les responsables informatiques peuvent également consulter les journaux de connexion de leurs pare-feu FortiGate à la recherche d’activités suspectes, comme des tentatives de connexion inhabituelles ou l’accès à des comptes inconnus.