La campagne FortiBleed est formellement attribuée aux groupes ransomware INC et Lynx : 430 000 firewalls FortiGate ciblés, 110 millions de credentials volés via un sniffer custom, 12 déploiements ransomware confirmés.
En bref
- La campagne FortiBleed est formellement liée aux opérateurs ransomware INC et Lynx, marquant la première attribution confirmée de vol massif de credentials FortiGate à des groupes ransomware
- 430 000 firewalls FortiGate ciblés dans plus de 150 pays ; 110 millions de credentials VPN interceptés via un outil de sniffing réseau custom déployé directement sur les appliances
- Réinitialiser immédiatement tous les credentials VPN sur les FortiGate, auditer l'intégrité des équipements et déployer les derniers firmwares Fortinet
Les faits
Une analyse publiée conjointement par SOCRadar, SecurityWeek et The Hacker News en juillet 2026 établit pour la première fois un lien formel entre la campagne FortiBleed — une opération massive de vol de credentials sur des firewalls FortiGate — et deux groupes ransomware actifs : INC et Lynx. Cette attribution repose sur l'identification d'un opérateur dont l'infrastructure était directement connectée aux panneaux de négociation des deux groupes, et qui participait activement à la gestion des intrusions issues des credentials volés.
L'ampleur de la campagne FortiBleed est sans précédent dans l'histoire des attaques ciblant des appliances réseau. Selon les données publiées, les acteurs ont scanné environ 11 250 portails FortiGate actifs répartis dans plus de 150 pays. Sur cet ensemble, ils ont obtenu un accès de niveau administrateur sur 409 cibles et mené la chaîne d'attaque complète sur 354 d'entre elles. Au total, plus de 110 millions de credentials VPN ont été interceptés, et au moins 12 déploiements de ransomware ont été directement attribués à des accès obtenus via FortiBleed — avec des centaines d'endpoints chiffrés dans les organisations touchées.
Le vecteur technique central de la campagne est un outil appelé « FortiGate Sniffer », un packet sniffer réseau custom déployé directement sur les firewalls FortiGate compromis. Plutôt que d'exfiltrer des bases de données de mots de passe ou de cibler des serveurs d'authentification, les attaquants ont exploité la position centrale du firewall dans le flux réseau pour intercepter les credentials VPN en transit, en clair ou après déchiffrement TLS. Cette technique est particulièrement efficace car elle est passive — elle ne génère pas de requêtes réseau anormales et passe sous les radars des solutions de détection basées sur le comportement.
L'exposition de la campagne a résulté d'une erreur opérationnelle (OPSEC) des attaquants eux-mêmes : un serveur centralisant les données volées a été momentanément exposé sur internet, permettant à des chercheurs en sécurité d'en découvrir l'existence et le contenu. L'analyse du serveur a permis de reconstituer la structure de l'opération : une organisation d'environ 20 personnes, avec un noyau de 5 à 7 opérateurs principaux responsables des intrusions les plus critiques, soutenu par des spécialistes techniques et une couche de back-office pour la gestion des négociations et le support technique aux affiliés.
Le groupe Lynx ransomware, qui était jusque-là considéré comme une opération de taille modérée active depuis fin 2024, voit avec FortiBleed sa capacité d'accès initial massif considérablement renforcée. INC ransomware, connu pour cibler les secteurs de la santé, de l'éducation et des collectivités en Europe et en Amérique du Nord, dispose désormais d'un pipeline d'accès initial industrialisé alimenté par des credentials FortiGate volés à grande échelle. La combinaison des deux opérations sous une infrastructure commune suggère soit une fusion partielle, soit une relation de fournisseur d'accès initial (IAB — Initial Access Broker) entre les opérateurs de FortiBleed et les deux groupes ransomware.
La chronologie de FortiBleed s'inscrit dans un contexte de vulnérabilités Fortinet répétées sur 2024-2026. Plusieurs CVE critiques dans FortiOS avaient déjà été exploitées par des acteurs étatiques et criminels, notamment en 2024 (CVE-2024-21762, CVSS 9.6) et en 2025. FortiBleed semble toutefois avoir exploité non pas une CVE publique unique mais une combinaison de techniques incluant des configurations par défaut insuffisamment sécurisées et possiblement des variantes de vulnérabilités non encore publiquement divulguées, selon SecurityWeek.
L'impact de cette campagne s'étend bien au-delà des 12 déploiements ransomware confirmés. Les 110 millions de credentials collectés représentent une réserve d'accès potentiel à des réseaux d'entreprise qui peut être monétisée progressivement sur plusieurs mois ou années — via la vente sur des marchés darkweb, des accès directs à la demande ou de nouvelles vagues de ransomware. Les organisations dont les FortiGate ont pu être compromis pendant la fenêtre d'activité de FortiBleed doivent considérer que leurs credentials VPN historiques sont potentiellement entre les mains d'acteurs malveillants, indépendamment d'une exploitation immédiate.
Selon Cybersecurity Dive, l'attribution à INC et Lynx a été confirmée notamment par la correspondance entre les indicateurs de compromission (IOC) des serveurs FortiBleed et les infrastructures connues des deux groupes, ainsi que par l'analyse de communications internes récupérées lors de l'exposition accidentelle du serveur opérationnel.
Impact et exposition
Toute organisation ayant déployé des firewalls FortiGate exposés sur internet au cours des 18 derniers mois doit considérer ses credentials VPN comme potentiellement compromis. Le FortiGate Sniffer interceptant les credentials en transit, les mots de passe changés après une connexion via l'appliance compromise restent capturés. Les secteurs les plus visés par INC et Lynx historiquement — santé, collectivités territoriales, éducation, industries manufacturières — sont en première ligne pour les déploiements ransomware issus de ces accès. Les 354 organisations ayant subi la chaîne d'attaque complète sont exposées à une exfiltration de données complémentaire et potentiellement à des attaques futures via des accès dormants.
Recommandations
- Réinitialiser immédiatement tous les credentials VPN sur les appliances FortiGate, y compris les comptes de service et d'administration
- Vérifier l'intégrité du firmware FortiGate et déployer la dernière version stable recommandée par Fortinet PSIRT
- Activer l'authentification multifacteur (MFA) sur toutes les connexions VPN si ce n'est pas encore le cas
- Analyser les journaux d'authentification FortiGate sur 90 jours pour détecter des connexions inhabituelles ou hors horaires
- Vérifier les indicateurs de compromission FortiBleed publiés par SOCRadar et RH-ISAC dans votre SIEM
- Restreindre l'accès à l'interface de gestion FortiOS aux seules adresses IP d'administration
Alerte critique
FortiBleed a compromis 354 organisations avec la chaîne d'attaque complète et alimenté 12 déploiements ransomware confirmés. Si votre FortiGate était exposé sur internet au cours des 18 derniers mois, vos credentials VPN doivent être considérés comme compromis jusqu'à preuve du contraire. Réinitialisez et activez le MFA immédiatement.
Comment savoir si notre FortiGate a été touché par FortiBleed ?
Plusieurs indicateurs sont à vérifier : la présence du processus « fgt_sniffer » ou de scripts inhabituels dans les logs de diagnostic FortiOS, des connexions sortantes vers des IP inconnues depuis l'appliance elle-même, et des authentifications VPN hors des plages horaires normales. SOCRadar et RH-ISAC ont publié des listes d'IOC (indicateurs de compromission) exploitables dans un SIEM. En l'absence de logs suffisants, la réinitialisation préventive des credentials reste la mesure la plus sûre.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-57092 : évasion de VM Hyper-V CVSS 9.9 dans Windows VMSwitch
CVE-2026-57092, use-after-free CVSS 9.9 dans Windows VMSwitch, permet à un attaquant peu privilégié d'escalader ses droits jusqu'à compromettre l'hôte Hyper-V depuis une VM guest. Patcher en priorité absolue.
CVE-2026-15409 : zero-day SSRF CVSS 10.0 SonicWall SMA1000 exploité
Deux zero-days SonicWall SMA1000 (CVE-2026-15409 CVSS 10.0 + CVE-2026-15410 CVSS 7.2) exploités en tandem depuis le 14 juillet 2026. Patch disponible, deadline CISA fixée au 17 juillet.
CrashStealer : malware macOS vole wallets et mots de passe
Jamf Threat Labs a publié l'analyse de CrashStealer, un infostealer macOS écrit en C++ natif, signé et notarisé par Apple, ciblant 80 wallets crypto et 14 gestionnaires de mots de passe. Il est actif in-the-wild depuis début juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire