FortiBleed : 75 000 firewalls Fortinet compromis, et ce que ça change pour vous

Ce qu'il faut retenir

Mi-juin 2026, des chercheurs ont révélé une base d'identifiants admin et VPN valides pour environ 75 000 firewalls Fortinet (FortiGate / SSL-VPN), répartis dans 194 pays. Malgré son nom, FortiBleed n'est pas une nouvelle faille type Heartbleed : c'est une campagne industrielle de vol et de recyclage d'identifiants. Le fond du problème n'est pas technique, c'est une faillite d'hygiène des mots de passe.

Si vous exploitez des FortiGate exposés sur Internet, partez du principe que vous êtes potentiellement concernés.

L'impact ici est la présence de grands noms dans cette liste de comptes valides : Spotify, FoxConn, Samsung, Lenovo, Accenture, etc.

Comment ça marche ?

Le mécanisme est une boucle qui s'auto-alimente :

1. Les attaquants scannent Internet à la recherche de FortiGate exposés.

2. Ils testent des identifiants déjà volés (fuites Fortinet passées + logs d'infostealers) contre chaque appareil.

3. Chaque connexion réussie est enregistrée, puis l'appareil sert de point d'écoute pour récolter de nouveaux identifiants.

4. Ces nouveaux identifiants relancent le scanner.

Le point clé : la complexité des mots de passe n'a servi à rien. Un mot de passe de 20 caractères capté en clair par un infostealer sur le poste d'un employé est rejoué tel quel. Sur les versions anciennes de FortiOS, les hash admin (SHA-256) ont en plus été cassés offline sur cluster GPU.

Dois-je m'inquiéter ?

Fortinet parle d'un repartage de données d'incidents passés et de brute-force, donc d'un risque faible pour qui suit les bonnes pratiques. Plusieurs chercheurs (dont Kevin Beaumont) jugent au contraire les données récentes et largement inédites, avec des éléments qui ne peuvent venir que de configurations exfiltrées. Le vecteur exact d'extraction reste inconnu à ce jour.

Parmi les organisations apparaissant dans le jeu de données : télécoms, secteur public, grands groupes industriels et services IT figurent en tête. La présence de votre organisation dans la liste signifie que les attaquants ont des identifiants fonctionnels, pas forcément une intrusion déjà confirmée.

Ce que je dois faire

Tout de suite (sous 24 heures) :

• Vérifier votre exposition (portails gratuits Hudson Rock et SOCRadar. Safercy dispose également d'une liste).

• Changer tous les identifiants admin et VPN.

• Retirer les interfaces d'administration Fortigate d'Internet.

• Activer le MFA partout — c'est le seul contrôle qui casse le rejeu d'identifiants volés.

Dans la foulée (post-remediation) :

• Mettre à jour FortiOS (≥ 7.2.11 / 7.4.8 / 7.6.1) et forcer chaque admin à se reconnecter pour rehasher les mots de passe.

• Faire tourner les identifiants de service présents dans les configs (LDAP, RADIUS, clés pré-partagées).

• Chasser la persistance : comptes admin inattendus, règles firewall permissives, connexions depuis des géographies inhabituelles.

Comment Safercy peut aider

• Détection des fuites (SaferFind) : nous surveillons en continu si vos identifiants circulent dans les flux d'infostealers et sur les forums criminels — c'est exactement la supply chain qui a nourri FortiBleed. Lien : https://www.safercy.com/saferfind-cti-dark-web-monitoring

• Réponse à incident (IR) : si un accès non autorisé est suspecté, nous intervenons pour qualifier la compromission, éradiquer la persistance et restaurer un état sain. Lien : https://www.safercy.com/reponse-a-incident

• Pentest : nous testons concrètement l'exposition de vos équipements edge et la solidité de vos accès distants, avant que quelqu'un d'autre ne le fasse. Lien : https://www.safercy.com/pentest-tests-d-intrusion

Vous utilisez des firewalls Fortinet et vous voulez savoir où vous en êtes ? Contactez-nous pour un point rapide.