En bref

  • Une faille critique CVE-2026-35616 (CVSS 9.1) dans FortiClient EMS est activement exploitée depuis le 31 mars 2026.
  • Toutes les organisations utilisant FortiClient EMS 7.4.5 et 7.4.6 sont concernées.
  • La CISA exige un correctif avant le 9 avril 2026 pour les agences fédérales américaines.

Ce qui s'est passé

Fortinet a publié en urgence un correctif pour une vulnérabilité zero-day dans FortiClient EMS, sa plateforme de gestion centralisée des endpoints. Référencée CVE-2026-35616, cette faille de contournement d'accès API pré-authentification permet à un attaquant non authentifié d'exécuter du code arbitraire via des requêtes spécialement conçues. Le score CVSS de 9.1 sur 10 témoigne de la gravité exceptionnelle de cette vulnérabilité.

Selon les chercheurs de watchTowr, les premières tentatives d'exploitation ont été détectées sur leurs honeypots dès le 31 mars 2026, soit plusieurs jours avant la publication du correctif officiel. Les versions affectées sont FortiClient EMS 7.4.5 et 7.4.6, et Fortinet a diffusé un hotfix en attendant la sortie complète de la version 7.4.7.

Face à l'exploitation active confirmée, la CISA (Cybersecurity and Infrastructure Security Agency) a ajouté cette CVE à son catalogue KEV le 6 avril 2026, imposant aux agences fédérales américaines un délai de correction expirant le 9 avril 2026. Fortinet a confirmé avoir observé des exploitations en conditions réelles et presse ses clients d'appliquer le correctif immédiatement.

Pourquoi c'est important

FortiClient EMS est déployé dans des milliers d'entreprises pour gérer la sécurité des postes de travail à distance. Une compromission de cette plateforme donne potentiellement accès à l'ensemble du parc informatique géré, ce qui en fait une cible de choix pour les attaquants. La nature pré-authentification de la faille signifie qu'aucun identifiant n'est nécessaire pour l'exploiter, abaissant drastiquement la barrière d'entrée.

Fortinet accumule les vulnérabilités critiques ces derniers mois, et les produits de l'éditeur restent des cibles privilégiées des groupes APT. Les entreprises françaises utilisant FortiClient EMS doivent considérer ce correctif comme une priorité absolue, d'autant que l'ANSSI avait déjà alerté sur la recrudescence des attaques ciblant les équipements Fortinet.

Ce qu'il faut retenir

  • Appliquer immédiatement le hotfix Fortinet pour FortiClient EMS 7.4.5 et 7.4.6, sans attendre la version 7.4.7.
  • Vérifier les journaux d'accès API de FortiClient EMS pour détecter d'éventuelles tentatives d'exploitation depuis le 31 mars.
  • Mettre en place une surveillance renforcée des équipements Fortinet et planifier une revue régulière des correctifs de sécurité.

Comment savoir si mon FortiClient EMS a été compromis ?

Examinez les journaux d'accès API pour repérer des requêtes inhabituelles depuis le 31 mars 2026. Recherchez des connexions depuis des adresses IP inconnues et des créations de comptes administrateurs non autorisées. Fortinet fournit des indicateurs de compromission (IoC) dans son advisory. En cas de doute, isolez le serveur EMS et contactez votre équipe de réponse à incident.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Articles connexes :

Prendre contact

Pour approfondir

📎 Articles complémentaires