En bref

  • Fortinet corrige en urgence CVE-2026-35616, une faille de contournement d'authentification API dans FortiClient EMS avec un score CVSS de 9.1
  • FortiClient EMS versions 7.4.5 et 7.4.6 sont affectés — un hotfix est disponible en attendant la version 7.4.7
  • Exploitation active confirmée depuis le 31 mars 2026 — appliquer le correctif immédiatement

Les faits

Fortinet a publié le 4 avril 2026 un correctif d'urgence hors cycle pour une vulnérabilité critique dans FortiClient Enterprise Management Server. Référencée CVE-2026-35616 avec un score CVSS de 9.1, cette faille de type CWE-284 (contrôle d'accès inapproprié) permet à un attaquant non authentifié de contourner les mécanismes d'authentification et d'autorisation de l'API pour exécuter du code arbitraire via des requêtes spécialement forgées. La vulnérabilité a été découverte par Simo Kohonen de Defused Cyber et Nguyen Duc Anh, qui l'ont signalée de manière responsable à Fortinet. Selon les chercheurs de watchTowr, les premiers honeypots ont enregistré des tentatives d'exploitation dès le 31 mars 2026, soit plusieurs jours avant la publication officielle du correctif, confirmant le statut de zero-day de cette vulnérabilité. Le CISA a réagi rapidement en ajoutant CVE-2026-35616 à son catalogue KEV (Known Exploited Vulnerabilities) le 6 avril 2026, imposant aux agences fédérales américaines un délai de correction au 9 avril. Cette chronologie extrêmement serrée témoigne de la gravité de la menace et de l'urgence du déploiement des correctifs pour toutes les organisations utilisant FortiClient EMS.

FortiClient EMS est un outil de gestion centralisée largement déployé dans les entreprises pour administrer les agents FortiClient sur l'ensemble du parc. Une compromission de ce composant donne potentiellement accès à la gestion de tous les postes de travail protégés par FortiClient, ce qui en fait une cible de choix pour les attaquants. Ce n'est pas la première fois que Fortinet fait face à des attaques ciblant sa chaîne logicielle et ses produits de sécurité. Les organisations qui dépendent de l'écosystème Fortinet doivent considérer ce type de vulnérabilité comme un risque systémique majeur nécessitant une stratégie de sécurité proactive.

Impact et exposition

Toutes les organisations utilisant FortiClient EMS versions 7.4.5 et 7.4.6 sont directement exposées. L'exploitation ne nécessite aucune authentification préalable, ce qui signifie que tout FortiClient EMS accessible depuis le réseau — et a fortiori depuis Internet — peut être compromis. Une exploitation réussie permet l'exécution de code avec les privilèges du service EMS, ouvrant la voie à une prise de contrôle complète du serveur de gestion et, par extension, de l'ensemble des endpoints administrés. Les secteurs les plus exposés sont ceux qui utilisent massivement FortiClient en environnement distribué : santé, éducation, services managés et administrations. Le fait que l'exploitation soit active depuis fin mars signifie que certaines organisations ont potentiellement déjà été compromises sans le savoir. Comme observé récemment avec d'autres vulnérabilités critiques sur des appliances réseau, les attaquants ciblent systématiquement les outils de gestion centralisée pour maximiser leur impact.

Recommandations

  • Appliquer immédiatement le hotfix Fortinet pour FortiClient EMS 7.4.5 et 7.4.6 — ne pas attendre la version 7.4.7
  • Vérifier les logs d'accès API de FortiClient EMS pour toute requête suspecte depuis le 31 mars 2026
  • Restreindre l'accès réseau à l'interface d'administration EMS aux seules adresses IP autorisées
  • Rechercher des indicateurs de compromission (connexions inhabituelles, comptes créés, modifications de politique)
  • Surveiller les publications Fortinet pour la sortie de la version 7.4.7 avec le correctif définitif

Alerte critique

Exploitation active confirmée par des honeypots depuis le 31 mars 2026. Si votre FortiClient EMS est exposé sur Internet sans le hotfix, considérez-le comme potentiellement compromis et lancez une investigation forensique immédiate. La fenêtre de réponse se réduit drastiquement face à ce type de menace.

Comment savoir si mon FortiClient EMS a été compromis avant l'application du patch ?

Analysez les logs d'accès API de FortiClient EMS en recherchant des requêtes inhabituelles sur les endpoints d'authentification depuis le 31 mars 2026. Vérifiez également la présence de nouveaux comptes administrateurs, de modifications de politiques de sécurité non planifiées, ou de connexions sortantes anormales depuis le serveur EMS. Fortinet recommande aussi de vérifier l'intégrité des fichiers du serveur EMS et de comparer avec une installation propre.

Quelles versions de FortiClient EMS sont concernées par CVE-2026-35616 ?

Seules les versions 7.4.5 et 7.4.6 de FortiClient EMS sont affectées. Les versions antérieures à 7.4.5 et la future version 7.4.7 ne sont pas vulnérables. Un hotfix est disponible pour les deux versions concernées sur le portail de support Fortinet. Son déploiement est prioritaire et ne doit pas attendre une fenêtre de maintenance classique.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit