La campagne FortiBleed a ciblé 430 000 firewalls FortiGate dans 150 pays, volant 110 millions de credentials via un sniffer réseau custom. Pour la première fois, ce vol massif est directement lié aux ransomwares INC et Lynx, avec 12 déploiements ransomware confirmés.
En bref
- La campagne FortiBleed a ciblé 430 000 firewalls FortiGate dans 150 pays, exfiltrant plus de 110 millions de credentials via un sniffer réseau custom baptisé « FortiGate Sniffer »
- 409 accès admin confirmés, 354 chaînes d'attaque complètes exécutées, 12 déploiements ransomware directement attribuables aux groupes INC et Lynx
- Action requise : appliquer toutes les mises à jour FortiOS, révoquer et régénérer l'ensemble des credentials VPN et admin, vérifier les IoC publiés par Fortinet
Les faits
En juillet 2026, les chercheurs de SOCRadar, The Hacker News, BleepingComputer, SecurityWeek et Cybersecurity Dive ont documenté en détail une campagne de compromission d'appliances réseau à grande échelle baptisée « FortiBleed ». Pour la première fois, un lien direct et formellement confirmé a été établi entre le vol massif de credentials sur des firewalls FortiGate et des opérations ransomware actives : les groupes INC Ransomware et Lynx.
L'échelle de l'opération est sans précédent pour ce type de campagne. Les chercheurs ont tracé des activités de scan contre environ 11 250 portails FortiGate dans plus de 150 pays. De ces scans, 409 cibles ont subi un accès administrateur confirmé. Sur ces 409, 354 ont subi l'exécution complète de la chaîne d'attaque, permettant l'extraction de credentials VPN et l'implantation d'outils de persistance. Au total, plus de 110 millions de credentials ont été agrégés sur l'infrastructure C2 de FortiBleed.
L'outil central de la campagne est un sniffer réseau custom baptisé « FortiGate Sniffer ». Une fois déployé sur un FortiGate compromis, il intercepte en temps réel le trafic réseau transitant par l'appliance — y compris les authentifications VPN SSL, les tokens de session et les credentials d'administration. L'originalité tactique réside dans l'exploitation du firewall lui-même comme point d'écoute, transformant l'appliance de sécurité en outil d'espionnage de son propre trafic d'authentification.
L'analyse d'un document de suivi interne exfiltré par les chercheurs révèle l'organisation structurée derrière FortiBleed : environ 20 personnes avec une division du travail claire — 3 à 5 opérateurs primaires pour les intrusions à fort impact, des spécialistes techniques, et une couche back-office de support junior. Cette structure rappelle directement les modèles organisationnels des groupes ransomware matures comme LockBit ou BlackCat/ALPHV, illustrant la professionnalisation croissante des Initial Access Brokers (IAB) en 2026.
Le lien avec INC et Lynx a été établi via l'analyse d'infrastructure : un opérateur lié au réseau FortiBleed a été retrouvé gérant activement des panneaux de négociation ransomware pour les deux groupes simultanément. C'est la première fois qu'une chaîne aussi directe relie vol massif de credentials sur appliances réseau et déploiement ransomware opérationnel. Au moins 12 déploiements ransomware sont directement attribuables aux accès FortiBleed, provoquant le chiffrement de centaines d'endpoints dans des organisations victimes.
INC Ransomware est actif depuis juin 2023 et cible principalement le secteur de la santé, les collectivités locales et les universités en Amérique du Nord et en Europe. Lynx, apparu en 2024, est considéré comme un successeur partiel d'INC avec des cibles similaires dans l'industrie manufacturière et la distribution. La collaboration opérationnelle entre les deux groupes, médiatisée par les accès FortiBleed, illustre la fluidité des alliances dans l'écosystème cybercriminel.
La ou les vulnérabilités initiales exploitées par FortiBleed n'ont pas été précisées de manière univoque. Les analystes de Cybersecurity Dive et RH-ISAC suggèrent une combinaison de CVE connues non corrigées sur les interfaces SSL-VPN de FortiGate — notamment dans les familles CVE-2024-21762 et CVE-2023-27997 — ainsi que des credentials obtenus via des campagnes préalables ou des configurations par défaut maintenues sur des dispositifs anciens. Fortinet avait publié des alertes répétées sur l'exploitation active de ces CVE en 2024-2025.
Pour les organisations françaises, le risque est concret : la France compte plusieurs milliers de déploiements FortiGate dans les secteurs public, hospitalier, industriel et PME. Les 110 millions de credentials agrégés par FortiBleed constituent une ressource de persistance à long terme pour de futurs accès ou reventes sur les marchés cybercriminels. Certains credentials pourraient rester valides pendant des mois si les organisations affectées ne procèdent pas à une révocation systématique de tous leurs identifiants VPN et admin FortiGate.
Impact et exposition
Sont exposées : toutes les organisations disposant d'un FortiGate avec interface SSL-VPN ou portail d'administration exposé sur Internet, n'ayant pas appliqué l'ensemble des correctifs FortiOS depuis 2023. La surface d'attaque reste active même après le patching : les credentials déjà volés peuvent servir à des intrusions futures si les mots de passe VPN et admin ne sont pas changés.
Recommandations
- Appliquer immédiatement toutes les mises à jour de sécurité FortiOS, en priorité celles corrigeant les interfaces SSL-VPN
- Révoquer et régénérer l'ensemble des credentials administrateurs et VPN sur tous les dispositifs FortiGate
- Rechercher la présence du binaire FortiGate Sniffer et des IoC Fortinet dans les logs système de l'appliance
- Désactiver l'interface d'administration HTTPS et le portail SSL-VPN sur Internet si l'exposition directe n'est pas strictement nécessaire
- Déployer une authentification multi-facteurs (MFA) obligatoire sur tous les accès VPN et d'administration
- Engager une analyse forensique sur les appliances si des IoC FortiBleed sont détectés
Alerte critique
FortiBleed représente la première liaison confirmée entre vol massif de credentials FortiGate et déploiement ransomware opérationnel. Si votre organisation utilise FortiGate avec SSL-VPN et n'a pas patché depuis 2024, considérez vos credentials comme potentiellement compromis et engagez une révocation systématique et une investigation forensique.
Comment vérifier si mon FortiGate fait partie des 430 000 compromis par FortiBleed ?
Comparez votre version FortiOS avec la liste des versions corrigées dans les bulletins PSIRT de Fortinet. Examinez les logs d'exécution de processus à la recherche de binaires non signés ou inhabituels — en particulier tout processus similaire à « FortiGate Sniffer ». Vérifiez les connexions sortantes inhabituelles dans les logs réseau de l'appliance. Fortinet a publié un guide de réponse à incident spécifique avec des scripts de détection — consultez son portail PSIRT officiel. En cas de doute, isolez l'appliance et engagez une analyse forensique avant de la remettre en production.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditSources et références
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
AWS us-east-1 en panne : 3 heures de blackout mondial
Le 16 juillet 2026, une panne de 3 heures dans la région AWS us-east-1 a paralysé des services critiques mondiaux : réseaux hospitaliers, logistique aérienne, ChatGPT, Signal et Coinbase.
NVIDIA Nemotron 3 Nano Omni : modèle IA open multimodal
NVIDIA publie Nemotron 3 Nano Omni, un modèle open-weight multimodal de 30B paramètres (3B actifs) unifiant vision, audio et langage avec 9x plus de débit pour les agents IA edge et entreprise.
WordPress wp2shell : RCE critique sans auth, patch d'urgence
La chaîne de failles wp2shell (CVE-2026-63030 + CVE-2026-60137) permet l'exécution de code sans authentification sur tout WordPress 6.9.x. Correctifs publiés en urgence le 17 juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire