La campagne FortiBleed a ciblé plus de 430 000 pare-feux FortiGate via des vulnérabilités FortiOS. Les groupes INC Ransom et Lynx ont déployé un sniffer interceptant les credentials VPN, avec 12 déploiements ransomware confirmés et 354 environnements intégralement compromis jusqu’au domain admin.
En bref
- La campagne FortiBleed a ciblé plus de 430 000 pare-feux FortiGate dans le monde via des vulnérabilités FortiOS, avec déploiement d’un sniffer de credentials VPN personnalisé et création d’un compte backdoor « adminin »
- Périmètre confirmé : 19 000 appareils avec sniffer déployé, 354 avec chaîne complète VPN + Active Directory + domain admin, 12 déploiements ransomware confirmés par INC Ransom et Lynx
- Action requise : mettre à jour FortiOS immédiatement, auditer les comptes locaux à la recherche du backdoor « adminin », révoquer et renouveler tous les credentials VPN
Les faits
La campagne baptisée FortiBleed par les chercheurs en sécurité représente l’une des opérations d’accès initial à grande échelle les plus documentées de l’année 2026. Selon les données publiées par BleepingComputer et DarkReading début juillet 2026, plus de 430 000 appareils FortiGate ont été ciblés dans le cadre de cette campagne coordonnée, exploitant des vulnérabilités présentes dans FortiOS, le système d’exploitation propriétaire de Fortinet. L’ampleur de cette opération dépasse les incidents FortiGate précédents, notamment la vague d’exploitation de 2023-2024 qui avait déjà compromis des dizaines de milliers d’appareils à l’échelle mondiale.
L’outil central de cette campagne est un sniffer réseau personnalisé, surnommé « FortiGate Sniffer » par les chercheurs, déployé sur les appareils compromis pour intercepter les credentials VPN SSL en transit. Ce composant malveillant s’installe directement dans le flux de traitement des authentifications FortiGate et capture les identifiants, mots de passe et tokens de session au moment où ils sont présentés lors des connexions VPN. Les données capturées sont transmises à une infrastructure de commande et contrôle composée d’environ 500 serveurs identifiés par les équipes de threat intelligence, répartis dans plusieurs juridictions pour compliquer les opérations de démantèlement.
Les chiffres publiés décrivent plusieurs niveaux d’exploitation. Environ 19 000 appareils ont vu le sniffer FortiGate déployé avec succès. Parmi eux, 11 000 restaient toujours compromis après que Fortinet et ses partenaires ont commencé à notifier les clients affectés. Dans 409 cas, les attaquants ont confirmé un accès administrateur complet à l’appareil. Dans 354 cas, la chaîne complète a été établie : accès VPN, mouvement latéral vers les contrôleurs de domaine Active Directory, et obtention des droits de domain admin. Ce dernier niveau de compromission donne aux attaquants un contrôle quasi-total sur l’environnement Windows de la victime, incluant la possibilité d’exfiltrer le fichier NTDS.dit contenant tous les hashes de mots de passe du domaine.
Le groupe derrière FortiBleed opère comme un Initial Access Broker (IAB) structuré, comptant environ 20 membres avec des rôles définis : scanners, exploiteurs, opérateurs du sniffer, et courtiers assurant la vente des accès ou la coordination avec des groupes ransomware. Cette structure reflète la professionnalisation croissante de l’écosystème cybercriminel, où la division du travail optimise l’efficacité des opérations. Le groupe FortiBleed a établi des partenariats opérationnels documentés avec deux groupes ransomware : INC Ransom, actif depuis la mi-2023 sous un modèle Ransomware-as-a-Service, et Lynx, apparu à la mi-2024 et considéré par plusieurs analystes comme un rebrand direct d’INC Ransom partageant du code commun et des affiliés.
Douze déploiements de ransomware ont été confirmés à ce stade, ayant abouti au chiffrement de centaines d’endpoints dans les environnements victimes. Ces déploiements ne représentent cependant que la partie émergée de l’iceberg : les 354 environnements avec accès domain admin établi constituent autant de bombes à retardement potentielles. Les attaquants n’ont pas encore déclenché le chiffrement dans ces environnements, soit par choix tactique — attente du moment optimal — soit parce que l’accès est d’abord monetisé via la revente sur des marchés darknet avant le déploiement ransomware.
Un second vecteur d’exploitation latérale a été documenté : un zero-day dans Nextcloud, la solution open-source de stockage et de collaboration en ligne. Bien que les détails techniques n’aient pas encore été divulgués publiquement par les chercheurs, son exploitation dans le contexte de FortiBleed illustre la stratégie de pivotage multi-vecteurs adoptée par les attaquants : une fois dans le réseau via le FortiGate compromis, ils exploitent d’autres failles non patchées pour étendre leur emprise avant que l’alerte initiale ne soit traitée. Nextcloud est largement déployé dans les organisations européennes soucieuses de souveraineté numérique, ce qui confère à ce vecteur un impact particulier pour les entreprises françaises.
Le mécanisme de persistance le plus caractéristique de cette campagne est la création d’un compte backdoor avec le nom d’utilisateur « adminin » sur les appareils FortiGate compromis. Ce compte, délibérément similaire au compte « admin » légitime, vise à passer inaperçu lors d’audits superficiels des comptes locaux. Ce marqueur est aujourd’hui un indicateur de compromission (IoC) primaire à rechercher en priorité sur tout FortiGate qui aurait pu être exposé. En parallèle, les attaquants téléchargent les fichiers de configuration complets des appareils, qui contiennent des informations critiques sur la topologie réseau, les règles de filtrage, et parfois des credentials en clair ou faiblement chiffrés utilisés pour des intégrations avec d’autres systèmes.
Fortinet a publié plusieurs avis de sécurité via son portail PSIRT (Product Security Incident Response Team) couvrant les vulnérabilités exploitées dans cette campagne. La complexité pour les organisations victimes réside dans le fait que la simple application du patch ne suffit pas si l’appareil a déjà été compromis : les comptes backdoor, les sniffers déployés, et les configurations exfiltrées persistent indépendamment du correctif. Une réponse à incident complète est nécessaire pour les appareils potentiellement touchés, incluant une réinitialisation d’usine et une réinstallation depuis une image propre.
Impact et exposition
Tout appareil FortiGate fonctionnant avec une version non corrigée de FortiOS et exposant des services VPN SSL sur internet est potentiellement concerné. L’impact va bien au-delà du simple pare-feu compromis : via les accès VPN interceptés et les droits domain admin obtenus dans 354 cas confirmés, les attaquants disposent d’un accès complet à l’ensemble de l’infrastructure Windows des organisations victimes. Les MSP gérant des parcs FortiGate pour plusieurs clients présentent un risque de rebond vers l’ensemble de leur portefeuille clients. Les secteurs particulierèrement exposés incluent les entreprises de taille intermédiaire utilisant FortiGate comme passerelle VPN principale, et les administrations publiques françaises équipées de solutions Fortinet.
Recommandations
- Appliquer immédiatement les mises à jour FortiOS disponibles sur le portail PSIRT de Fortinet pour toutes les versions affectées
- Rechercher immédiatement le compte « adminin » sur tous les appareils FortiGate et le supprimer s’il est trouvé — sa présence confirme la compromission et déclenche une procédure de réponse à incident complète
- Auditer les logs d’authentification VPN SSL pour des connexions anormales (horaires inhabituels, géolocalisations inattendues, volumes de trafic atypiques)
- Révoquer et renouveler tous les credentials VPN et clés de configuration, en partant du principe qu’ils ont été exfiltrés si l’appareil a pu être exposé
- Pour les appareils suspectés compromis : isolation réseau immédiate, réinitialisation d’usine, réinstallation depuis une image propre avant reconnexion
- Mettre à jour Nextcloud vers la dernière version disponible et restreindre son exposition réseau
Alerte critique
La campagne FortiBleed est active avec 12 déploiements ransomware confirmés et 354 environnements avec accès domain admin établi. La présence du compte « adminin » sur un FortiGate confirme la compromission. Le patch seul est insuffisant sur les appareils déjà compromis — une réponse à incident complète avec réinitialisation matérielle est nécessaire.
Notre FortiGate est derrière un autre pare-feu et n’expose pas directement son interface admin : sommes-nous protégés ?
Partiellement. La ségrégation de l’interface d’administration réduit la surface d’attaque directe, mais le service VPN SSL doit être exposé pour fonctionner — c’est par ce service que passe l’exploitation documentée dans FortiBleed. Appliquer le patch FortiOS reste impératif. Vérifiez également si votre version est dans le périmètre des avis PSIRT Fortinet publiés depuis juin 2026, et recherchez le compte « adminin » indépendamment de votre configuration réseau.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu’elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
JadePuffer : le premier ransomware piloté par LLM autonome frappe en 31 secondes
JadePuffer est le premier ransomware entièrement opéré par un agent LLM autonome. En 31 secondes, il a enchâîné CVE-2025-3248 (Langflow) et CVE-2021-29441 (Nacos) pour chiffrer 1 342 configurations via MySQL AES_ENCRYPT() — avec un défaut de stockage de clé rendant les données potentiellement irrécupérables.
CVE-2026-45659 : RCE SharePoint activement exploitée, Storm-2603 déploie Warlock
Une RCE CVSS 8.8 dans Microsoft SharePoint Server est activement exploitée par Storm-2603 pour déployer le ransomware Warlock. Patch disponible depuis mai 2026, deadline CISA expirée, plus de 10 000 serveurs toujours exposés.
La course aux modèles IA s'accélère en juin 2026
Juin 2026 s'impose comme le mois le plus dense de l'IA générative : GPT-5.6 détecté dans les logs Codex d'OpenAI, Gemini 3.5 Pro en préversion Vertex AI, et Qwen3.7 Max d'Alibaba qui rivalise avec les meilleurs modèles occidentaux à moitié prix.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire