FortiBleed est une campagne de credential harvesting qui a compromis 430 000 pare-feux FortiGate dans le monde, exfiltré 105 millions de credentials via un outil abusant les commandes natives FortiOS, et alimenté directement les opérations ransomware INC Ransom et Lynx.
En bref
- FortiBleed : 430 000 FortiGate ciblés, 19 000 compromis avec sniffer actif, 105 millions de credentials exfiltrés — campagne confirmée début juillet 2026
- FortigateSniffer (Golang) détourne la commande native
diagnose sniffer packetde FortiOS pour capturer 24 protocoles d'authentification simultanément sans alerte - Connexion directe aux groupes ransomware INC Ransom et Lynx : 12 déploiements ransomware confirmés, 354 organisations avec domaine Active Directory totalement compromis
Les faits
FortiBleed est le nom attribué par les chercheurs de SOCRadar, BleepingComputer et Mandiant à une vaste campagne de vol de credentials ciblant les équipements réseau Fortinet FortiGate à l'échelle mondiale. Les analyses publiées début juillet 2026 révèlent l'ampleur réelle de l'opération : 430 000 pare-feux FortiGate ciblés, 19 000 appareils sur lesquels des sniffers de trafic réseau ont été déployés et actifs, 105 millions de couples identifiants/mots de passe capturés à travers 659 pipelines de collecte automatisés, et 1,16 milliard de tentatives de connexion exécutées contre 320 000 cibles FortiGate. Ces chiffres n'ont pas de précédent dans l'histoire des attaques ciblant des équipements réseau.
Le mécanisme technique au cœur de FortiBleed repose sur un outil développé en Golang, baptisé FortigateSniffer. Cet outil détourne une fonctionnalité native et parfaitement légitime de FortiOS : la commande diagnose sniffer packet. Il s'agit d'un utilitaire de diagnostic réseau intégré au système d'exploitation de tous les FortiGate, conçu à l'origine pour permettre aux administrateurs réseau de capturer et analyser le trafic transitant par le pare-feu. FortigateSniffer orchestre l'exécution de cette commande sur des centaines d'instances simultanément, en filtrant spécifiquement les ports des protocoles d'authentification d'entreprise : Kerberos (88), LDAP (389/636), RADIUS (1812/1813), RDP (3389), MSSQL (1433), et de nombreux autres. Le paramètre de verbosité maximale est utilisé pour capturer les payloads complets — y compris les credentials en clair ou les hashes d'authentification. Ce choix d'outil natif n'est pas accidentel : il s'inscrit dans la logique du Living off the Land appliquée aux équipements réseau.
L'accès initial aux FortiGate a été obtenu par trois vecteurs combinés selon les analyses de Mandiant et SOCRadar : credential stuffing à partir de bases de données d'identifiants issus de fuites antérieures (plusieurs dizaines de milliers de configurations FortiGate avaient été publiées sur des forums cybercriminels en 2024 et 2025, incluant des identifiants administrateurs), force brute sur des comptes disposant de mots de passe faibles ou par défaut, et réutilisation de credentials volés lors d'incidents tiers sur lesquels les utilisateurs avaient recyclé le même mot de passe pour leur accès VPN ou interface admin FortiGate. Aucune exploitation de vulnérabilité technique n'est requise dans cette phase — la porte d'entrée est simplement une hygiène insuffisante des credentials.
L'analyse publiée par SOCRadar apporte un élément particulièrement préoccupant sur l'organisation opérationnelle : un opérateur avec accès à l'infrastructure FortiBleed était activement connecté simultanément aux panneaux de négociation des deux groupes ransomware INC Ransom et Lynx, gérant des demandes de rançon en temps réel. FortiBleed n'est donc pas un service de revente de credentials — c'est une infrastructure intégrée couvrant la chaîne d'attaque complète, de la compromission initiale du réseau périmétrique jusqu'au déploiement du ransomware et à la négociation. Au moins 12 déploiements de ransomware ont été directement tracés à des accès FortiBleed, avec des centaines d'endpoints chiffrés dans les organisations identifiées.
Les statistiques de progression interne documentées par Mandiant illustrent la valeur opérationnelle d'un FortiGate compromis. Parmi les 430 000 cibles, 409 ont subi une compromission confirmée au niveau administrateur FortiGate. Sur ces 409, 354 — soit 86 % — ont subi la chaîne complète : compromission VPN, pivotage vers le réseau interne, accès au contrôleur de domaine Active Directory, obtention de droits Domain Admin. Ce taux de 86 % de progression du FortiGate compromis jusqu'au domain admin est un indicateur brutal : contrôler le pare-feu de périmètre revient dans la grande majorité des cas à contrôler l'intégralité de l'infrastructure interne.
Lynx, l'un des deux groupes ransomware liés à FortiBleed, opère depuis 2024 comme une opération RaaS (Ransomware-as-a-Service) ciblant les PME et ETI en Amérique du Nord et en Europe occidentale, avec des demandes de rançon entre 50 000 et 500 000 dollars selon la taille de la cible. INC Ransom, actif depuis mi-2023, pratique la double extorsion systématique : chiffrement combiné à l'exfiltration et à la menace de publication sur son site de leak. La convergence des deux groupes autour de la même infrastructure FortiBleed suggère soit une affiliation opérationnelle commune, soit un modèle de partage d'accès via un intermédiaire (access broker).
Les secteurs les plus représentés parmi les victimes confirmées incluent les services financiers, les établissements de santé, l'industrie manufacturière et les prestataires de services managés (MSP). Ce dernier secteur mérite une attention particulière : un MSP dont le FortiGate de gestion est compromis offre aux attaquants un point d'accès aux réseaux de l'ensemble de ses clients via les outils de monitoring et de déploiement centralisés. Le schéma MSP-comme-pivot avait déjà été documenté lors des campagnes Kaseya (2021) et ToolShell-MSP (2025) — FortiBleed suit le même modèle en ciblant l'équipement central à l'infrastructure de gestion des MSP.
Fortinet a réagi à la divulgation publique de FortiBleed en publiant une advisory d'urgence recommandant la réinitialisation complète de tous les credentials administrateurs et VPN, ainsi que la mise à jour vers les versions FortiOS les plus récentes. La société a notifié directement 11 000 clients confirmés compromis (sur les 19 000 initialement identifiés), la réduction reflétant les actions de remédiation engagées après notification. Des indicateurs de compromission (IoC) incluant les hashes MD5/SHA256 des binaires FortigateSniffer et les plages d'adresses IP des serveurs C2 ont été publiés par Fortinet PSIRT et SOCRadar.
Impact et exposition
Tout équipement FortiGate exposé à Internet avec des credentials administrateurs ou VPN faibles, réutilisés ou issus d'une base de données compromise doit être considéré comme potentiellement affecté par FortiBleed, avec une fenêtre d'exposition s'étendant sur plusieurs mois avant la divulgation de juillet 2026. Les organisations utilisant des FortiGate comme passerelles VPN SSL — configuration dominante dans les PME et administrations françaises — sont directement exposées à une compromission complète de leur infrastructure interne via pivotage réseau. Les données à risque incluent l'ensemble des credentials réseau capturés en transit : mots de passe Kerberos, hash NTLM, sessions RDP, credentials LDAP — soit potentiellement l'intégralité des identifiants d'un domaine Active Directory.
Recommandations
- Réinitialiser immédiatement tous les mots de passe des comptes administrateurs et des utilisateurs VPN sur l'ensemble des FortiGate du parc — sans exception, sans attendre les résultats d'un audit préalable.
- Activer le MFA sur toutes les interfaces d'administration FortiGate et sur les portails VPN SSL ; appliquer les mises à jour FortiOS disponibles.
- Auditer les logs FortiOS via
diagnose debug historypour détecter toute exécution dediagnose sniffer packetsur des durées anormalement longues ou sur des ports d'authentification depuis le 1er janvier 2026. - Vérifier l'intégrité du domaine Active Directory : comptes nouvellement créés, modifications dans Domain Admins, changements de GPO, réplication inhabituelle.
- En cas de FortiGate exposé sans MFA sur l'interface admin, traiter la compromission comme confirmée jusqu'à preuve du contraire et engager un processus de réponse à incident.
Alerte critique
FortiBleed est une opération de compromission de masse active, directement connectée à INC Ransom et Lynx. 430 000 FortiGate ciblés, 105 millions de credentials volés, 354 organisations avec domaine Active Directory totalement compromis. Si votre FortiGate est ou a été exposé à Internet sans MFA, la réinitialisation complète des credentials réseau — pas seulement le mot de passe admin Fortinet — est une action immédiate et non négociable.
Comment vérifier si mon FortiGate a servi de sniffer actif dans FortiBleed ?
Fortinet a publié une procédure de vérification dans son advisory de juillet 2026. Elle consiste à : (1) auditer l'historique CLI via diagnose debug history — rechercher des exécutions répétées ou longue durée de diagnose sniffer packet depuis des sessions non attribuées à vos administrateurs habituels ; (2) vérifier les connexions sortantes inhabituelles depuis l'équipement vers des IP externes non documentées — les hashes des binaires FortigateSniffer et les plages IP C2 de FortiBleed sont disponibles dans les advisories Fortinet PSIRT et SOCRadar ; (3) contrôler les logs d'authentification pour des connexions admin depuis des IP inhabituelles ou à des horaires atypiques depuis janvier 2026.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-35273 Oracle PeopleSoft : zero-day CVSS 9.8 exploité 14 jours avant le patch, 100+ orgs compromises
CVE-2026-35273 est une faille d'authentification manquante CVSS 9.8 dans Oracle PeopleSoft PeopleTools 8.61 et 8.62, exploitée comme zero-day depuis le 27 mai 2026 par ShinyHunters — soit 14 jours avant le patch Oracle du 10 juin — entraînant la compromission de plus de 100 organisations dans l'enseignement supérieur, la santé et les administrations.
CVE-2026-45659 : SharePoint Server RCE dans la KEV CISA, Warlock en embuscade
CVE-2026-45659 est une désérialisation RCE dans SharePoint Server, CVSS 8.8, ajoutée à la KEV CISA le 1er juillet 2026 et exploitée par Storm-2603 pour déployer le ransomware Warlock sur les instances non patchées depuis mai 2026.
IA : Big Tech investit 725 milliards de dollars en 2026
Microsoft, Amazon, Google et Meta vont collectivement dépenser 725 milliards de dollars en infrastructure IA en 2026, en hausse de 77 % par rapport aux 410 milliards investis en 2025. Les analystes projettent déjà le dépassement du trillion de dollars en 2027.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire