Fortinet corrige en urgence la faille CVE-2026-35616 dans FortiClient EMS, activement exploitée depuis fin mars. CISA impose un patch immédiat.
TL;DR — En résumé
Faille critique CVE-2026-35616 dans FortiClient EMS activement exploitée. Fortinet publie un correctif d'urgence, la CISA impose un patch immédiat.
En bref
- Une faille critique CVE-2026-35616 (CVSS 9.1) dans FortiClient EMS est activement exploitée depuis le 31 mars 2026.
- Toutes les organisations utilisant FortiClient EMS 7.4.5 et 7.4.6 sont concernées.
- La CISA exige un correctif avant le 9 avril 2026 pour les agences fédérales américaines.
Ce qui s'est passé
Fortinet a publié en urgence un correctif pour une vulnérabilité zero-day dans FortiClient EMS, sa plateforme de gestion centralisée des endpoints. Référencée CVE-2026-35616, cette faille de contournement d'accès API pré-authentification permet à un attaquant non authentifié d'exécuter du code arbitraire via des requêtes spécialement conçues. Le score CVSS de 9.1 sur 10 témoigne de la gravité exceptionnelle de cette vulnérabilité.
Selon les chercheurs de watchTowr, les premières tentatives d'exploitation ont été détectées sur leurs honeypots dès le 31 mars 2026, soit plusieurs jours avant la publication du correctif officiel. Les versions affectées sont FortiClient EMS 7.4.5 et 7.4.6, et Fortinet a diffusé un hotfix en attendant la sortie complète de la version 7.4.7.
Face à l'exploitation active confirmée, la CISA (Cybersecurity and Infrastructure Security Agency) a ajouté cette CVE à son catalogue KEV le 6 avril 2026, imposant aux agences fédérales américaines un délai de correction expirant le 9 avril 2026. Fortinet a confirmé avoir observé des exploitations en conditions réelles et presse ses clients d'appliquer le correctif immédiatement.
Pourquoi c'est important
FortiClient EMS est déployé dans des milliers d'entreprises pour gérer la sécurité des postes de travail à distance. Une compromission de cette plateforme donne potentiellement accès à l'ensemble du parc informatique géré, ce qui en fait une cible de choix pour les attaquants. La nature pré-authentification de la faille signifie qu'aucun identifiant n'est nécessaire pour l'exploiter, abaissant drastiquement la barrière d'entrée.
Fortinet accumule les vulnérabilités critiques ces derniers mois, et les produits de l'éditeur restent des cibles privilégiées des groupes APT. Les entreprises françaises utilisant FortiClient EMS doivent considérer ce correctif comme une priorité absolue, d'autant que l'ANSSI avait déjà alerté sur la recrudescence des attaques ciblant les équipements Fortinet.
Ce qu'il faut retenir
- Appliquer immédiatement le hotfix Fortinet pour FortiClient EMS 7.4.5 et 7.4.6, sans attendre la version 7.4.7.
- Vérifier les journaux d'accès API de FortiClient EMS pour détecter d'éventuelles tentatives d'exploitation depuis le 31 mars.
- Mettre en place une surveillance renforcée des équipements Fortinet et planifier une revue régulière des correctifs de sécurité.
Comment savoir si mon FortiClient EMS a été compromis ?
Examinez les journaux d'accès API pour repérer des requêtes inhabituelles depuis le 31 mars 2026. Recherchez des connexions depuis des adresses IP inconnues et des créations de comptes administrateurs non autorisées. Fortinet fournit des indicateurs de compromission (IoC) dans son advisory. En cas de doute, isolez le serveur EMS et contactez votre équipe de réponse à incident.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Articles connexes :
Pour approfondir
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Indra Group : ransomware TheGentlemen cible un contractant stratégique de l'OTAN
TheGentlemen, groupe ransomware affilié au programme Qilin, a revendiqué une attaque contre Indra Group, contractant espagnol membre de la coalition cyber OTAN. La filiale touchée a été isolée mais le groupe menace de publier les données volées. L'incident illustre la stratégie de ciblage des filiales pour compromettre les groupes industriels de défense.
CVE-2026-45659 : SharePoint Server RCE exploité activement, Storm-2603 déploie des webshells
CVE-2026-45659, une désérialisation RCE CVSS 8.8 sur Microsoft SharePoint Server, a été ajoutée au KEV CISA après exploitation confirmée par Storm-2603. Un compte avec des droits de membre de site suffit pour déclencher l'attaque. Appliquer le patch de mai 2026 en urgence.
Patch Tuesday juillet 2026 : 127 CVE, RCE wormable CVSS 9.8 et enforcement Kerberos RC4
Le Patch Tuesday du 14 juillet 2026 corrige 127 vulnérabilités dont 38 critiques. CVE-2025-47981, un RCE wormable CVSS 9.8 sur NEGOEX, est le correctif le plus urgent ; l'enforcement Kerberos RC4 entre en vigueur aujourd'hui et peut provoquer des pannes d'authentification sur les environnements non préparés.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire