En bref

  • La campagne FortiBleed — déploiement massif d'un outil de sniffing réseau personnalisé sur des firewalls FortiGate — est formellement liée aux opérations de ransomware INC Ransom et Lynx selon un rapport SOCRadar du 9 juillet 2026
  • ~430 000 firewalls FortiGate ciblés dans 150+ pays, ~19 000 compromis avec le FortiGate Sniffer, 12 déploiements de ransomware confirmés
  • Appliquer les patches FortiOS immédiatement, révoquer tous les credentials VPN, vérifier les IoC publiés par CISA

Les faits

La campagne FortiBleed, dont les premiers signes avaient été détectés début juillet 2026 avec la divulgation de 73 000 sets de credentials VPN FortiGate et la découverte d'un outil de sniffing réseau personnalisé sur des firewalls Fortinet compromis, vient de prendre une dimension significativement plus préoccupante. Un rapport de SOCRadar publié le 9 juillet 2026 établit formellement un lien entre l'infrastructure technique de cette campagne et les opérations actives des groupes de ransomware INC Ransom et Lynx. Ce n'est plus simplement une campagne de vol de credentials — c'est l'étape préparatoire d'une vague de ransomware déjà amorcée.

L'outil malveillant central de la campagne, baptisé "FortiGate Sniffer" par les chercheurs, est un programme customisé déployé directement sur les firewalls FortiGate compromis. Son mode opératoire est particulièrement sophistiqué : plutôt que de s'attaquer aux systèmes internes du réseau cible, il intercepte les credentials d'authentification VPN directement depuis le trafic réseau transitant par le firewall lui-même. Cette technique de "living on the edge" rend la détection par les EDR et les SIEM internes extrêmement difficile : l'activité malveillante se situe sur un équipement réseau périmétrique qui n'est généralement pas surveillé par les solutions de sécurité endpoint classiques.

L'échelle documentée par les chercheurs est alarmante. Environ 430 000 firewalls FortiGate dans le monde ont été ciblés par des scans de reconnaissance. Parmi ceux-ci, environ 19 000 — réduits à 11 000 après les premières notifications aux entreprises affectées — ont effectivement reçu le FortiGate Sniffer et sont en cours d'exploitation active. L'infrastructure de commandement et contrôle de la campagne comprend environ 500 serveurs opérationnels, signe d'une organisation criminelle disposant de ressources significatives. Ces chiffres positionnent FortiBleed parmi les campagnes d'accès initial les plus ambitieuses documentées en 2026.

Le lien direct avec les ransomwares INC Ransom et Lynx a été établi de manière concrète par les chercheurs de SOCRadar. Un serveur Windows appartenant à l'infrastructure FortiBleed a été découvert avec des sessions de navigateur actives simultanément sur les panneaux de négociation de rançon d'INC Ransom et de Lynx — une erreur opérationnelle révélatrice. Des victimes figurant sur le site de fuite d'INC Ransom correspondent précisément aux données collectées via le FortiGate Sniffer. Au minimum 12 déploiements de ransomware ont déjà résulté des accès obtenus, avec des centaines d'endpoints chiffrés dans les organisations concernées.

INC Ransom est un groupe actif depuis mi-2023 ayant revendiqué plus de 830 victimes, ciblant principalement les secteurs de la santé, de l'éducation et des infrastructures critiques. Lynx, apparu mi-2024 et fortement suspecté d'être un rebranding partiel d'INC Ransom sur la base de similitudes de code malveillant et d'infrastructure partagée, poursuit la même stratégie d'extorsion. La convergence des deux groupes sur l'exploitation de FortiBleed suggère une structure organisationnelle commune ou une collaboration opérationnelle étroite.

Le vecteur d'accès initial aux firewalls FortiGate n'a pas été officiellement communiqué par Fortinet au moment de la publication de cet article. Trois hypothèses circulent dans la communauté de recherche : l'exploitation de CVE non patchés sur les interfaces de gestion FortiOS exposées, la compromission de credentials administrateurs via des campagnes de phishing ciblées antérieures, ou l'exploitation d'une vulnérabilité non encore divulguée publiquement. La CISA a émis des avertissements généraux aux utilisateurs Fortinet sans préciser le vecteur exact.

L'aspect particulièrement préoccupant de cette campagne est sa persistance et sa discrétion dans le temps. Un firewall FortiGate hébergeant un sniffer peut collecter des credentials pendant des semaines ou des mois avant que l'équipe sécurité ne détecte l'intrusion, si tant est qu'elle dispose des outils pour surveiller l'intégrité de ses équipements réseau périmétriques. Les credentials ainsi collectés permettent ensuite aux attaquants de se connecter via VPN avec des identifiants légitimes, rendant le mouvement latéral initial quasiment invisible pour les systèmes de détection basés sur les comportements anormaux.

Le rapport SOCRadar mentionne également l'exploitation parallèle d'un zero-day Nextcloud non encore divulgué publiquement comme vecteur complémentaire d'accès initial dans certaines organisations ciblées. Cette double capacité d'exploitation élargit la surface d'attaque au-delà des équipements Fortinet et suggère une capacité offensive plus mature que les campagnes ransomware habituelles.

Impact et exposition

Sont exposées toutes les organisations utilisant des firewalls FortiGate avec des portails SSL-VPN ou IPsec accessibles depuis Internet, dans plus de 150 pays selon les données de SOCRadar. Les secteurs de la santé, du manufacturing, de la finance et des administrations publiques figurent parmi les plus représentés dans les victimes documentées d'INC Ransom. Toute organisation dont les firewalls FortiGate n'ont pas bénéficié des derniers patches FortiOS doit considérer son périmètre réseau comme potentiellement compromis, particulièrement si des portails VPN SSL sont exposés sur Internet sans MFA obligatoire.

Recommandations

  • Appliquer immédiatement tous les patches FortiOS disponibles, en priorité pour les versions affectant les portails SSL-VPN et les interfaces de gestion
  • Rechercher la présence du FortiGate Sniffer via les IoC publiés par CISA et SOCRadar — vérifier les processus inhabituels sur les firewalls via l'interface CLI
  • Révoquer et renouveler l'intégralité des credentials VPN FortiGate de l'organisation sans exception
  • Activer l'authentification multi-facteurs sur tous les accès VPN FortiGate — les credentials seuls ne suffisent plus
  • Examiner les logs d'accès VPN des 30 derniers jours pour des connexions depuis des ASN d'hébergement suspects ou des géolocalisations inhabituelles
  • Mandater une vérification d'intégrité des firewalls FortiGate exposés par votre SOC ou un prestataire spécialisé

Alerte critique

430 000 firewalls FortiGate ciblés, 12 déploiements de ransomware confirmés. Si votre organisation utilise des portails SSL-VPN FortiGate exposés sur Internet sans MFA et sans les derniers patches FortiOS, vous êtes dans la fenêtre de ciblage active de FortiBleed. Traitez cette situation comme une compromission présumée jusqu'à vérification complète des indicateurs.

Comment détecter la présence du FortiGate Sniffer sur mon équipement ?

Connectez-vous à l'interface CLI de votre FortiGate et exécutez diagnose sys process list pour identifier les processus actifs, puis comparez avec la liste des processus légitimes pour votre version FortiOS. Vérifiez l'intégrité des fichiers système via execute verify si disponible. Consultez les IoC (hashes, adresses IP C2) publiés par CISA et SOCRadar pour FortiBleed et vérifiez vos logs de connexion sortante pour toute communication vers ces IPs. Examinez les logs d'accès VPN pour des connexions avec des credentials légitimes depuis des IPs ou des ASN inhabituels. En cas de doute, ouvrez un ticket de support Fortinet en urgence et contactez votre CSIRT pour une analyse forensique.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit