En bref

  • La campagne FortiBleed est formellement liée aux opérateurs ransomware INC et Lynx, marquant la première attribution confirmée de vol massif de credentials FortiGate à des groupes ransomware
  • 430 000 firewalls FortiGate ciblés dans plus de 150 pays ; 110 millions de credentials VPN interceptés via un outil de sniffing réseau custom déployé directement sur les appliances
  • Réinitialiser immédiatement tous les credentials VPN sur les FortiGate, auditer l'intégrité des équipements et déployer les derniers firmwares Fortinet

Les faits

Une analyse publiée conjointement par SOCRadar, SecurityWeek et The Hacker News en juillet 2026 établit pour la première fois un lien formel entre la campagne FortiBleed — une opération massive de vol de credentials sur des firewalls FortiGate — et deux groupes ransomware actifs : INC et Lynx. Cette attribution repose sur l'identification d'un opérateur dont l'infrastructure était directement connectée aux panneaux de négociation des deux groupes, et qui participait activement à la gestion des intrusions issues des credentials volés.

L'ampleur de la campagne FortiBleed est sans précédent dans l'histoire des attaques ciblant des appliances réseau. Selon les données publiées, les acteurs ont scanné environ 11 250 portails FortiGate actifs répartis dans plus de 150 pays. Sur cet ensemble, ils ont obtenu un accès de niveau administrateur sur 409 cibles et mené la chaîne d'attaque complète sur 354 d'entre elles. Au total, plus de 110 millions de credentials VPN ont été interceptés, et au moins 12 déploiements de ransomware ont été directement attribués à des accès obtenus via FortiBleed — avec des centaines d'endpoints chiffrés dans les organisations touchées.

Le vecteur technique central de la campagne est un outil appelé « FortiGate Sniffer », un packet sniffer réseau custom déployé directement sur les firewalls FortiGate compromis. Plutôt que d'exfiltrer des bases de données de mots de passe ou de cibler des serveurs d'authentification, les attaquants ont exploité la position centrale du firewall dans le flux réseau pour intercepter les credentials VPN en transit, en clair ou après déchiffrement TLS. Cette technique est particulièrement efficace car elle est passive — elle ne génère pas de requêtes réseau anormales et passe sous les radars des solutions de détection basées sur le comportement.

L'exposition de la campagne a résulté d'une erreur opérationnelle (OPSEC) des attaquants eux-mêmes : un serveur centralisant les données volées a été momentanément exposé sur internet, permettant à des chercheurs en sécurité d'en découvrir l'existence et le contenu. L'analyse du serveur a permis de reconstituer la structure de l'opération : une organisation d'environ 20 personnes, avec un noyau de 5 à 7 opérateurs principaux responsables des intrusions les plus critiques, soutenu par des spécialistes techniques et une couche de back-office pour la gestion des négociations et le support technique aux affiliés.

Le groupe Lynx ransomware, qui était jusque-là considéré comme une opération de taille modérée active depuis fin 2024, voit avec FortiBleed sa capacité d'accès initial massif considérablement renforcée. INC ransomware, connu pour cibler les secteurs de la santé, de l'éducation et des collectivités en Europe et en Amérique du Nord, dispose désormais d'un pipeline d'accès initial industrialisé alimenté par des credentials FortiGate volés à grande échelle. La combinaison des deux opérations sous une infrastructure commune suggère soit une fusion partielle, soit une relation de fournisseur d'accès initial (IAB — Initial Access Broker) entre les opérateurs de FortiBleed et les deux groupes ransomware.

La chronologie de FortiBleed s'inscrit dans un contexte de vulnérabilités Fortinet répétées sur 2024-2026. Plusieurs CVE critiques dans FortiOS avaient déjà été exploitées par des acteurs étatiques et criminels, notamment en 2024 (CVE-2024-21762, CVSS 9.6) et en 2025. FortiBleed semble toutefois avoir exploité non pas une CVE publique unique mais une combinaison de techniques incluant des configurations par défaut insuffisamment sécurisées et possiblement des variantes de vulnérabilités non encore publiquement divulguées, selon SecurityWeek.

L'impact de cette campagne s'étend bien au-delà des 12 déploiements ransomware confirmés. Les 110 millions de credentials collectés représentent une réserve d'accès potentiel à des réseaux d'entreprise qui peut être monétisée progressivement sur plusieurs mois ou années — via la vente sur des marchés darkweb, des accès directs à la demande ou de nouvelles vagues de ransomware. Les organisations dont les FortiGate ont pu être compromis pendant la fenêtre d'activité de FortiBleed doivent considérer que leurs credentials VPN historiques sont potentiellement entre les mains d'acteurs malveillants, indépendamment d'une exploitation immédiate.

Selon Cybersecurity Dive, l'attribution à INC et Lynx a été confirmée notamment par la correspondance entre les indicateurs de compromission (IOC) des serveurs FortiBleed et les infrastructures connues des deux groupes, ainsi que par l'analyse de communications internes récupérées lors de l'exposition accidentelle du serveur opérationnel.

Impact et exposition

Toute organisation ayant déployé des firewalls FortiGate exposés sur internet au cours des 18 derniers mois doit considérer ses credentials VPN comme potentiellement compromis. Le FortiGate Sniffer interceptant les credentials en transit, les mots de passe changés après une connexion via l'appliance compromise restent capturés. Les secteurs les plus visés par INC et Lynx historiquement — santé, collectivités territoriales, éducation, industries manufacturières — sont en première ligne pour les déploiements ransomware issus de ces accès. Les 354 organisations ayant subi la chaîne d'attaque complète sont exposées à une exfiltration de données complémentaire et potentiellement à des attaques futures via des accès dormants.

Recommandations

  • Réinitialiser immédiatement tous les credentials VPN sur les appliances FortiGate, y compris les comptes de service et d'administration
  • Vérifier l'intégrité du firmware FortiGate et déployer la dernière version stable recommandée par Fortinet PSIRT
  • Activer l'authentification multifacteur (MFA) sur toutes les connexions VPN si ce n'est pas encore le cas
  • Analyser les journaux d'authentification FortiGate sur 90 jours pour détecter des connexions inhabituelles ou hors horaires
  • Vérifier les indicateurs de compromission FortiBleed publiés par SOCRadar et RH-ISAC dans votre SIEM
  • Restreindre l'accès à l'interface de gestion FortiOS aux seules adresses IP d'administration

Alerte critique

FortiBleed a compromis 354 organisations avec la chaîne d'attaque complète et alimenté 12 déploiements ransomware confirmés. Si votre FortiGate était exposé sur internet au cours des 18 derniers mois, vos credentials VPN doivent être considérés comme compromis jusqu'à preuve du contraire. Réinitialisez et activez le MFA immédiatement.

Comment savoir si notre FortiGate a été touché par FortiBleed ?

Plusieurs indicateurs sont à vérifier : la présence du processus « fgt_sniffer » ou de scripts inhabituels dans les logs de diagnostic FortiOS, des connexions sortantes vers des IP inconnues depuis l'appliance elle-même, et des authentifications VPN hors des plages horaires normales. SOCRadar et RH-ISAC ont publié des listes d'IOC (indicateurs de compromission) exploitables dans un SIEM. En l'absence de logs suffisants, la réinitialisation préventive des credentials reste la mesure la plus sûre.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit