FortiBleed : 73 932 credentials VPN Fortinet exposés

FortiBleed : la plus grande fuite de credentials Fortinet jamais documentée

À mi-juin 2026, le chercheur indépendant en cybersécurité Bob Diachenko a découvert un serveur exposé sur internet contenant ce qui pourrait constituer la plus vaste collection de credentials VPN Fortinet jamais mise au jour. L'ensemble, immédiatement baptisé « FortiBleed » par la communauté de la sécurité, catalogue les identifiants d'accès à 73 932 pare-feux FortiGate répartis dans 194 pays. BleepingComputer, qui a pu analyser un échantillon de la base de données, a confirmé la présence d'entrées valides correspondant à des organisations de premier plan dans de nombreux secteurs de l'économie mondiale. L'ampleur de la fuite dépasse de loin les incidents Fortinet précédemment documentés et place cet événement parmi les plus significatifs de l'année 2026 en matière de sécurité des équipements réseau.

L'étendue géographique et sectorielle de la fuite est sans précédent dans l'histoire des compromissions de matériel réseau périmétrique. Le dataset comprend des entrées pour des géants industriels comme Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota et Sinopec, aux côtés de nombreuses entités gouvernementales et institutionnelles. Tous les secteurs sont représentés : technologie, télécommunications, industrie manufacturière, e-commerce, logistique, services financiers, énergie et divertissement. La concentration d'acteurs d'infrastructure critique dans un seul jeu de données en fait un actif de premier ordre pour des opérations de ransomware ciblées, d'espionnage industriel ou d'intrusions persistantes à long terme de type APT.

Ce que Diachenko a trouvé n'était pas une simple base de données statique figée dans le temps, mais un serveur actif trahissant les coulisses d'une opération d'envergure industrielle. Les artefacts découverts — scripts bash d'automatisation, historiques de jobs cron, traces de connexion détaillées et télémétrie en temps réel — révèlent un backend opérationnel soigneusement orchestré. Le groupe à l'origine de la collecte, identifié comme russophone par l'analyse des métadonnées et des commentaires dans les scripts, a exploité une infrastructure de 45 GPU orchestrée via Hashtopolis pour cracker des hachages de mots de passe hors ligne à très haute cadence. Selon les analystes de threat intelligence ayant examiné les artefacts, le rythme d'opération peut être qualifié de « systématique et mécanisé ».

Le vecteur principal identifié par les chercheurs est une convergence de trois facteurs distincts plutôt qu'une faille unique. En premier lieu, la CVE-2026-24858, une vulnérabilité critique dans FortiOS permettant à un attaquant non authentifié d'extraire des hachages de mots de passe SSL VPN via une requête HTTP spécialement forgée vers l'interface d'administration. Les organisations n'ayant pas appliqué le patch disponible représentent une fraction significative des entrées de la base. En second lieu, les versions anciennes de FortiOS utilisaient SHA-256 sans sel (salt) pour le hachage des mots de passe, un mécanisme considéré comme insuffisant face aux capacités de cracking GPU modernes, permettant de retrouver les mots de passe en clair en quelques heures pour les mots de passe courants.

Le troisième vecteur est peut-être le plus préoccupant sur le long terme : le recyclage systématique de credentials provenant de campagnes d'infostealers. Des logiciels malveillants comme Redline Stealer, Vidar et Lumma Stealer ont collecté au cours des années précédentes des millions d'identifiants depuis les navigateurs, clients mail et applications des employés d'entreprise. Ces credentials, largement disponibles sur les marchés souterrains et dans des dumps publics, ont été testés de façon automatisée contre les instances Fortinet préalablement inventoriées par des scans internet massifs. La corrélation croisée entre les bases d'infostealers et les firewalls cibles constitue le principal levier d'efficacité de l'opération FortiBleed, transformant des fuites de données d'autres incidents en vecteur d'intrusion réseau.

Fortinet a réagi en déclarant à BleepingComputer que l'enquête interne menée en parallèle « indique que la collection de credentials a été obtenue via des incidents précédents et des attaques par force brute, et n'est pas liée à une nouvelle vulnérabilité, une nouvelle faille ou un nouvel avis de sécurité. » Cette déclaration, bien que rassurante sur l'absence de zero-day inédit non divulgué, ne diminue en rien la gravité de la situation pour les 73 932 organisations dont les identifiants figurent dans la base. Le risque d'accès non autorisé à leur infrastructure réseau est immédiat et concret, indépendamment du mécanisme d'acquisition des credentials.

La procédure de vérification recommandée par les chercheurs consiste à comparer les URL de management FortiGate de son parc contre la liste d'hôtes compromis, disponible progressivement auprès de plusieurs services de threat intelligence (Spycloud, Have I Been Pwned pour les entrées rendues publiques, Dehashed). Pour les organisations confirmant leur présence dans le dataset, la réponse immédiate doit couvrir plusieurs axes : forçage de réinitialisation du mot de passe pour l'ensemble des utilisateurs VPN, révocation de toutes les sessions SSL VPN actives, rotation des certificats d'authentification machine-to-machine, et audit complet des logs de connexion des six derniers mois à la recherche d'accès anormaux (plages IP inhabituelles, connexions hors heures ouvrables, durées de session excessives, téléchargements de volumes inhabituels).

CISA a émis une mise en garde publique encourageant toutes les organisations utilisant des équipements Fortinet à vérifier en urgence l'application du patch CVE-2026-24858, à activer le MFA sur les accès VPN sans délai, et à surveiller activement leurs logs pour détecter des tentatives d'accès avec des credentials potentiellement compromis. L'agence rappelle que les équipements réseau périmètriques non à jour constituent la première catégorie de vecteurs d'entrée dans les intrusions ransomware documentées en 2026, selon les statistiques de son programme de monitoring des incidents touchant les collectivités et petites organisations (SLTT).

L'industrialisation silencieuse de la compromission des équipements réseau

FortiBleed n'est pas un incident isolé mais le symptôme d'une économie criminelle parfaitement rodée autour des équipements réseau périmètriques. L'infrastructure découverte — 45 GPU dédiés au cracking, automatisation complète via Hashtopolis, scans d'inventaire internet systématiques — n'est pas à la portée d'acteurs amateurs ou opportunistes. Elle témoigne d'une professionnalisation avancée des opérations de collecte de credentials ciblant spécifiquement les VPN, pare-feux et passerelles d'accès distant. Ces dispositifs, historiquement moins surveillés que les serveurs applicatifs par les équipes de sécurité défensive, constituent des points d'entrée privilégiés pour des opérations de ransomware ou d'espionnage industriel prolongé.

Le parallèle avec des incidents antérieurs est instructif sur la trajectoire de cette menace. En 2024, une fuite similaire mais plus modeste avait exposé les credentials de plus de 500 000 équipements Fortinet issus d'une exploitation de la CVE-2022-40684. En 2025, les campagnes attribuées au groupe Volt Typhoon avaient démontré que des acteurs étatiques exploitaient systématiquement les équipements réseau sous-patchés comme têtes de pont persistantes dans des infrastructures critiques américaines. FortiBleed illustre que ce vecteur d'attaque, désormais documenté, outillé et accessible, est maintenant reproductible à grande échelle par des groupes cybercriminels non-étatiques motivés par le profit, sans les contraintes opérationnelles des acteurs étatiques.

Pour les RSSI, cet incident soulève une question structurelle urgente : comment maintenir une visibilité sur les credentials d'infrastructure exposés dans un contexte où les fuites d'infostealers alimentent en permanence les bases de données des acteurs malveillants ? La réponse passe par des programmes de surveillance continue des credentials d'entreprise sur les marchés souterrains, par l'adoption universelle et immédiate du MFA sur tous les accès distants sans exception, et par une politique de rotation régulière des mots de passe d'infrastructure basée non plus sur des cycles annuels mais sur des alertes de compromission en temps réel. La détection passive n'est plus suffisante face à des adversaires qui opèrent dans la durée.

L'aspect réglementaire mérite également une attention particulière. Pour les organisations européennes soumises au RGPD, une connexion non autorisée à un pare-feux VPN peut constituer une violation de données à caractère personnel dès lors que des données transitant par ce VPN ont pu être accessibles à l'attaquant. La notification à l'autorité de contrôle compétente — la CNIL en France, les DPA nationales dans les autres États membres — dans les 72 heures suivant la découverte reste une obligation légale, quel que soit le vecteur d'entrée utilisé. Pour les opérateurs d'importance vitale (OIV) et les opérateurs de services essentiels (OSE), l'ANSSI doit également être notifiée selon les procédures NIS2 en vigueur depuis 2025.

Ce qu'il faut retenir

• Vérifiez immédiatement si vos équipements Fortinet figurent dans le dataset FortiBleed via des services de threat intelligence et forcez la réinitialisation de tous les mots de passe VPN.
• Activez le MFA sur tous les accès VPN Fortinet : c'est le seul contrôle qui neutralise les attaques par credentials même lorsque les mots de passe sont compromis.
• Appliquez le patch CVE-2026-24858, migrez vers une version FortiOS avec hachage renforcé, et auditez les logs de connexion des six derniers mois pour détecter tout accès suspect.