Une fuite de données massive, baptisée “FortiBleed” par la communauté de la cybersécurité, vient d’être mise en lumière. Des identifiants VPN FortiGate et Fortinet correspondant à 73 932 URL de pare-feu appartenant à des organisations du monde entier ont été exposés. Cette fuite est considérée comme l’une des plus graves jamais enregistrées dans l’écosystème Fortinet
Découverte : comment FortiBleed a été mis au jour
À l’origine de cette découverte se trouve le chercheur en sécurité Bob Diachenko. Ce dernier a indiqué avoir trouvé un serveur hébergeant un ensemble de fichiers contenant des identifiants VPN Fortinet : des paires nom d’utilisateur/mot de passe, ces derniers étant stockés en clair. Dans certains cas, il s’agit de mots de passe longs et complexes, théoriquement difficiles à craquer. Certaines entrées de la base de données font référence à des entreprises de premier plan : AT&T, Mercedes-Benz, Toyota, Chevron, Samsung et Foxconn. La base contient également, pour chaque organisation, son secteur d’activité, son chiffre d’affaires et le nombre de ses employés.
La véracité des données a été rapidement confirmée par le chercheur Kevin Beaumont : « Les données sont authentiques. On compte environ 75 000 appareils. Presque tous sont encore en ligne et sont bien des équipements Fortinet. Les données semblent récentes. » D’après les données réseau de Shodan, la fuite concernerait environ la moitié de tous les pare-feu Fortinet accessibles sur Internet, et la majorité des appareils affectés exposeraient directement leur interface de gestion FortiGate sur le net.
Une ampleur inédite : 5 fois plus large que la fuite précédente
FortiBleed ne surgit pas dans le vide. En 2025, le groupe Belsen avait déjà divulgué des configurations et des identifiants VPN pour environ 15 000 appareils FortiGate. FortiBleed est environ cinq fois plus volumineux, et les adresses IP concernées sont différentes — il ne s’agit donc pas d’un recyclage des anciennes données, mais d’une nouvelle compromission, plus étendue. TorchLight
En date de mi-juin 2026, le jeu de données circulerait activement dans des communautés criminelles souterraines. Les chercheurs estiment qu’environ 50 % de tous les appareils FortiGate accessibles sur Internet pourraient être affectés, dans 194 pays, ce qui en fait l’un des incidents de sécurité Fortinet les plus significatifs à ce jour. Bitsight
Origine technique : CVE-2022-40684, une vulnérabilité vieille de 4 ans
Les données ont été dérobées il y a plusieurs années via CVE-2022-40684, une faille de type path traversal dans FortiOS. Fortinet lui a attribué un score CVSS de 9,8 (Critique) et a publié des correctifs dans FortiOS 7.0.7 et 7.2.2. L’entreprise avait également émis une alerte d’urgence invitant à patcher immédiatement, et recommandant aux organisations exposant leurs interfaces de gestion sur Internet de se considérer comme déjà compromises. La CISA avait ajouté cette CVE à son catalogue des vulnérabilités exploitées connues (KEV), imposant aux agences fédérales un délai de correction. Gblock
Le délai entre la publication du correctif et son exploitation active avait été de quelques jours. Le délai entre l’exploitation et la publication publique des identifiants a été de plusieurs années — un cycle classique des dumps à haute valeur.
La campagne exploite également une faiblesse fondamentale dans la gestion des identifiants FortiOS : lors d’une mise à jour depuis une ancienne version, les mots de passe administrateurs restent stockés sous forme de hachages SHA-256 faibles tant que l’administrateur ne se reconnecte pas manuellement après la mise à jour.
Exploitation active confirmée
Les chercheurs de Bitsight ont confirmé une exploitation active liée à la campagne FortiBleed, incluant au moins un acteur malveillant sur un forum cybercriminel russophone proposant à la vente du contenu lié à cette menace. La Threat Intelligence de Bitsight a également identifié des outils de post-exploitation associés à cette activité, notamment les outils de tunneling Chisel et Neo-reGeorg — déjà observés dans des campagnes étatiques ciblant les équipements périmètriques Fortinet, y compris la campagne Volt Typhoon. Bitsight
Les organisations concernées
La liste des victimes potentielles couvre tous les secteurs : énergie, automobile, télécommunications, industrie, technologie. Les analyses réseau indiquent que le jeu de données FortiBleed englobe environ la moitié de tous les pare-feu Fortinet accessibles sur Internet à l’échelle mondiale — une proportion stupéfiante de l’infrastructure de sécurité sur laquelle des organisations du monde entier s’appuient pour protéger leurs réseaux. Shield53 Insights
Fortinet n’a pas publié d’advisory dédié à FortiBleed, car le dataset provient d’incidents antérieurs et d’attaques par force brute plutôt que d’une nouvelle vulnérabilité produit. L’absence de CVE ne réduit pas l’urgence : les identifiants valides au moment du scan FortiBleed restent valides aujourd’hui pour tout compte dont le mot de passe n’a pas été changé. Decryption Digest
Consignes Cles
- Rotation immédiate des identifiants : Changez tous les mots de passe administrateurs et utilisateurs VPN associés aux interfaces FortiGate. Considérez que tous les identifiants existants sont compromis.
- Vérification de la version FortiOS : Assurez-vous que vos équipements tournent sur FortiOS 7.0.7 minimum ou 7.2.2+ — les versions antérieures restent vulnérables à CVE-2022-40684.
- Audit des interfaces exposées : Vérifiez si votre interface de gestion Fortinet est directement accessible depuis Internet et, si c’est le cas, restreignez-en l’accès immédiatement via des règles firewall ou un VPN dédié.
- Activation de l’authentification multi-facteurs (MFA) : Le MFA aurait rendu inutilisables les identifiants volés dans la majorité des cas d’accès non autorisés.
- Surveillance des logs d’authentification : Analysez les journaux de connexion FortiGate à la recherche de connexions suspectes, d’heures inhabituelles, ou d’IP inconnues — en particulier des connexions SSL VPN réussies depuis des pays étrangers.
- Segmentation réseau : Vérifiez que la compromission d’un accès VPN ne puisse pas mener directement au cœur du réseau sans contrôle supplémentaire.
WordPress : Plugins Compromis
Une vulnérabilité de sécurité a récemment été identifiée dans plusieurs plugins WordPress populaires, dont OptinMonster, TrustPulse et PushEngage. Cette faille pourrait permettre à des attaquants d'exploiter certaines fonctionnalités des extensions concernées pour compromettre la sécurité des sites web.
RoguePlanet : Faille critique Windows
Une nouvelle vulnérabilité Zero-Day baptisée RoguePlanet cible les systèmes Windows en exploitant des mécanismes liés à Windows Defender. Cette faille pourrait permettre à des attaquants de contourner certaines protections de sécurité et d'obtenir un accès non autorisé aux systèmes affectés.
Une vulnérabilité Zero-Day : Chez Google
Une vulnérabilité Zero-Day critique, référencée CVE-2026-11645, affecte le navigateur Google Chrome. Exploitée activement avant la publication du correctif, cette faille dans le moteur V8 pourrait permettre l'exécution de code malveillant à distance simplement via la visite d'une page web piégée.
Brèche dans les WebViews sandboxées
Une vulnérabilité Zero-Day affectant Visual Studio Code a été découverte dans le mécanisme de communication des WebViews sandboxées. Cette faille permettrait à un attaquant de contourner certaines protections de l'environnement et de dérober des jetons d'authentification GitHub, exposant potentiellement des dépôts privés et des données sensibles. Les développeurs utilisant github.dev sont invités à suivre les recommandations de sécurité publiées par Microsoft.
Brèche critique dans Netlogon
La vulnérabilité CVE-2026-41089 affecte le service Netlogon de Windows Server et présente un risque majeur pour les infrastructures utilisant Active Directory. Cette faille permet à un attaquant distant non authentifié d'exécuter du code à distance et de compromettre potentiellement un contrôleur de domaine.
CIFSwitch : l'accès root sans privilège
La vulnérabilité CIFSwitch (CVE-2026-46243) met en lumière une faiblesse présente dans certains systèmes Linux depuis près de 19 ans. Cette faille d'escalade de privilèges permet à un utilisateur local non privilégié d'obtenir un accès root, ouvrant la voie à une prise de contrôle complète du système.
Brèche critique dans Drupal Core
La vulnérabilité **CVE-2026-9082** affecte Drupal Core et expose les sites concernés à un risque d'injection SQL critique. Exploitable à distance par un attaquant non authentifié, cette faille pourrait permettre l'accès à des données sensibles, la modification du contenu du site ou la compromission complète de l'application. Les administrateurs sont vivement encouragés à appliquer les correctifs de sécurité publiés par Drupal.
Accès root via DirtyDecrypt
La vulnérabilité **DirtyDecrypt (CVE-2026-31635)** affecte le noyau Linux et permet à un utilisateur local non privilégié d'obtenir des privilèges **root**. En exploitant une faiblesse du sous-système de déchiffrement du noyau, un attaquant peut contourner certaines protections de sécurité et prendre le contrôle complet du système. Cette faille souligne l'importance de maintenir les systèmes Linux à jour et d'appliquer rapidement les correctifs de sécurité disponibles.
RedSun compromet les systèmes Windows
Découverte en avril 2026, la vulnérabilité RedSun affecte Microsoft Defender et permet à un attaquant disposant de faibles privilèges d'obtenir un accès SYSTEM sur des systèmes Windows. Activement exploitée, cette faille représente une menace importante pour les organisations utilisant Defender comme solution de protection principale.
Faille critique dans Cisco SD-WAN Manager
La vulnérabilité CVE-2026-20245 affecte Cisco Catalyst SD-WAN Manager, une solution largement utilisée pour l'administration des réseaux étendus d'entreprise. Cette faille permet à un attaquant disposant de privilèges administratifs d'exécuter des commandes en tant que root, compromettant ainsi l'intégrité et le contrôle de l'infrastructure réseau.