Le 18 juin 2026, une fuite de données baptisée FortiBleed a mis en lumière l’exposition de plus de 73 000 URL de pare-feux Fortinet et FortiGate, accompagnées d’identifiants VPN et de mots de passe en clair. Cette brèche ne concerne pas seulement des petites structures : on trouve dans la liste des entrées d’entreprises du CAC 40, des administrations publiques européennes et des opérateurs d’importance vitale. Si vous administrez un pare-feu Fortinet, ce guide vous explique exactement ce que vous devez faire dans les prochaines 24 heures.
La CISA américaine a d’ailleurs renforcé ses exigences dans la foulée : une directive impose désormais aux agences fédérales de corriger les vulnérabilités critiques en trois jours. Un signal fort que la fenêtre d’exposition tolérable se réduit à vue d’œil dans toute l’industrie.
Qu’est-ce que FortiBleed exactement ?
FortiBleed est le nom donné à une collection d’identifiants de connexion VPN extraits de pare-feux Fortinet exposés sur Internet. Contrairement à une vulnérabilité zero-day classique, il ne s’agit pas ici d’une faille dans le code de FortiGate : les attaquants ont exploité des appareils dont les interfaces d’administration étaient accessibles directement depuis Internet, combiné à des firmwares non patchés contenant des CVE connues depuis 2023 et 2024.
Les données publiées incluent des adresses IP publiques, des noms d’utilisateurs, des hachages de mots de passe et, pour une partie des entrées, des mots de passe en clair récupérés via des sessions de gestion non chiffrées. La fuite circule depuis plusieurs jours dans des forums cybercriminels spécialisés avant d’être rendue publique par des chercheurs en sécurité qui ont alerté les médias spécialisés.
Les versions les plus touchées sont FortiOS 6.4, 7.0 et 7.2 avec des correctifs de sécurité non appliqués. FortiOS 7.4 et 7.6 sont globalement moins représentés dans la fuite, ce qui suggère que les installations maintenues à jour sont moins exposées — mais pas nécessairement immunisées si l’interface de management est exposée.
Évaluer votre exposition : les 5 vérifications urgentes
Avant toute remédiation, commencez par évaluer votre périmètre. Ces cinq vérifications peuvent être réalisées en moins d’une heure et vous donnent une image claire du risque réel.
1. Vérifiez si vos IP Fortinet sont dans la liste publiée. Plusieurs chercheurs ont mis en ligne des outils de recherche anonymisés. Entrez votre plage d’adresses IP publiques et vous saurez immédiatement si vos appareils figurent dans la base de données FortiBleed.
2. Inventoriez toutes vos versions FortiOS. Connectez-vous à chaque FortiGate et relevez la version exacte. Une version inférieure à 7.4 sans les patches de sécurité de 2024 est un signal d’alarme immédiat.
3. Vérifiez si l’interface de management est exposée sur Internet. L’interface HTTPS de gestion (port 443 ou personnalisé) ne doit jamais être accessible depuis l’Internet public. Si c’est le cas, vous avez votre priorité numéro un.
4. Auditez les comptes VPN actifs. Extrayez la liste complète des comptes SSL-VPN et IPSec. Supprimez les comptes inactifs, les comptes de test et les comptes partagés.
5. Cherchez des connexions suspectes dans les logs des 30 derniers jours. Les attaquants exploitent les identifiants volés rapidement. Des connexions depuis des pays inhabituels, à des heures atypiques ou depuis des plages d’IP inconnues méritent une investigation immédiate.
# Audit rapide des connexions VPN Fortinet via CLI
# Se connecter en SSH au FortiGate
# Lister les sessions VPN actives
diagnose vpn ssl list
# Voir les connexions des 24 dernières heures
get vpn ssl monitor
# Chercher les connexions depuis des IP externes inhabituelles
diagnose debug application sslvpn -1
# (Ctrl+C pour arrêter)
# Forcer la déconnexion d'un utilisateur suspect
execute vpn sslvpn del-tunnel <tunnel-id>
# Réinitialiser le mot de passe d'un compte compromis
config user local
edit "nom_utilisateur"
set passwd "NouveauMotDePasseForte2026!"
next
endPlan de remédiation en 24 heures
Si vous confirmez une exposition ou si vous avez des doutes, voici le plan de remédiation structuré que nous recommandons, par ordre de priorité décroissante.
Heure 0-2 : Isolation des interfaces exposées. Bloquez immédiatement l’accès à l’interface de management Fortinet depuis Internet. Sur votre routeur ou pare-feu amont, ajoutez une règle qui n’autorise l’accès aux ports de gestion (443, 22, 541) qu’depuis vos plages d’IP d’administration internes ou votre VPN de gestion.
Heure 2-6 : Rotation de tous les mots de passe. Changez les mots de passe de tous les comptes administrateurs et VPN, même si vous n’avez pas de preuve de compromission. Activez l’authentification multi-facteurs (MFA) via FortiToken ou via l’intégration RADIUS/LDAP avec votre solution MFA existante.
Heure 6-12 : Mise à jour du firmware. Planifiez la mise à jour vers la dernière version stable de FortiOS supportée par votre matériel. Consultez les notes de version de Fortinet et appliquez les patches de sécurité critiques en priorité.
Heure 12-24 : Audit des journaux et recherche d’indicateurs de compromission. Exportez et analysez les journaux des 30 derniers jours. Cherchez des connexions à des IP C2 connues (les listes IoC de l’incident FortiBleed sont publiées par les CERTs nationaux), des transferts de données volumineux et inhabituels, et des modifications de configuration non autorisées.
Fortinet et les vulnérabilités récurrentes : comprendre le contexte
FortiBleed n’est pas un événement isolé. Depuis 2022, les produits Fortinet font l’objet d’une attention particulière de la communauté de la sécurité offensive. Plusieurs CVE critiques ont été exploitées avant même la publication des correctifs : CVE-2022-42475 (CVSS 9.3), CVE-2023-27997 (CVSS 9.8), CVE-2024-21762 (CVSS 9.6) sont quelques exemples de vulnérabilités FortiGate qui ont conduit à des compromissions massives.
Le problème structurel est double. D’abord, la surface d’attaque des pare-feux Fortinet est intrinsèquement grande : ce sont des appareils complexes, exposés par définition à Internet, avec des dizaines de fonctionnalités (SSL-VPN, IPSec, ZTNA, SD-WAN) dont chacune peut contenir des failles. Ensuite, les cycles de mise à jour dans les entreprises sont lents : les pare-feux sont souvent traités comme des infrastructures critiques où toute maintenance implique une fenêtre de coupure planifiée — ce qui ralentit l’application des patches.
La réalité de 2026 est claire : un pare-feu non patché exposé sur Internet n’est pas une question de « si » il sera compromis, mais de « quand ».
Les alternatives et la posture Zero Trust
FortiBleed relance le débat sur l’architecture de sécurité périmétrique. Le modèle traditionnel — un périmètre réseau protégé par un pare-feu central — montre ses limites face à des attaquants qui ciblent systématiquement les équipements de sécurité eux-mêmes.
La réponse architecturale est le modèle Zero Trust Network Access (ZTNA). Au lieu d’exposer un VPN SSL qui authentifie une fois puis donne accès au réseau entier, le ZTNA authentifie chaque accès à chaque ressource, en continu, en tenant compte du contexte (appareil, localisation, comportement). FortiGate supporte d’ailleurs FortiZTNA nativement — l’ironie étant que ceux qui avaient migré vers ce modèle sont moins exposés à FortiBleed.
D’autres organisations profitent de cet incident pour accélérer leur migration vers des solutions Cloud Access Security Broker (CASB) et Secure Access Service Edge (SASE), qui délèguent la sécurité périmétrique à des services cloud managés — éliminant la problématique du firmware non patché sur des équipements on-premise.
Ce que FortiBleed enseigne sur la gestion des identifiants
Au-delà de la vulnérabilité Fortinet elle-même, FortiBleed illustre un problème de gestion des identifiants qui touche toutes les organisations. Des dizaines de milliers d’identifiants en clair circulent parce que des sessions de management ont été captées, parce que des logs de débogage ont été mal protégés, ou parce que des configurations ont été sauvegardées en clair dans des fichiers accessibles.
Les bonnes pratiques à mettre en place immédiatement : utiliser un gestionnaire de mots de passe professionnel (HashiCorp Vault, CyberArk, BeyondTrust) pour les comptes privilégiés ; imposer des mots de passe d’au moins 20 caractères générés aléatoirement pour tous les comptes d’infrastructure ; activer le MFA sur tous les accès d’administration sans exception ; et implémenter une rotation automatique des secrets avec TTL courts pour les comptes de service.
Les ressources officielles pour rester informé
Pour suivre l’évolution de la situation FortiBleed et recevoir les mises à jour officielles de Fortinet, consultez le portail PSIRT de Fortinet (Product Security Incident Response Team) qui publie les avis de sécurité et les IoC dès qu’ils sont disponibles. En France, le CERT-FR de l’ANSSI publie des alertes structurées avec des recommandations de remédiation adaptées au contexte réglementaire français.
La leçon fondamentale de FortiBleed n’est pas spécifique à Fortinet : tout équipement réseau exposé à Internet doit être traité avec la même rigueur de patch management que vos serveurs web. Les équipements de sécurité ne sont pas immunisés contre les vulnérabilités — et en 2026, ils sont devenus des cibles prioritaires pour les attaquants qui savent que les compromettre leur donne accès à l’ensemble du réseau d’entreprise.
Sources :
- Le Monde Informatique — FortiBleed : 75 000 identifiants Fortinet exposés (18 juin 2026)
- The Hacker News — US orders Anthropic to suspend Fable 5 access
- CNIL — Rapport annuel 2025 : cybersécurité et violations de données
- SecuriteWP — Attaques WordPress par IA en 2026
- DCOD — IA & Cybersécurité : les actus clés du 17 juin 2026
- Squair Law — Cybersécurité, IA et CNIL : actualités data juin 2026
Commentaires (0)
Laisser un commentaire
Les commentaires sont modérés. Questions WordPress, cybersécurité ou dev web bienvenues.