Fortinet corrige en urgence CVE-2026-35616, un zero-day CVSS 9.1 dans FortiClient EMS exploité activement depuis le 31 mars. Hotfix disponible pour les versions 7.4.5 et 7.4.6.
En bref
- Fortinet corrige en urgence CVE-2026-35616, une faille de contournement d'authentification API dans FortiClient EMS avec un score CVSS de 9.1
- FortiClient EMS versions 7.4.5 et 7.4.6 sont affectés — un hotfix est disponible en attendant la version 7.4.7
- Exploitation active confirmée depuis le 31 mars 2026 — appliquer le correctif immédiatement
Les faits
Fortinet a publié le 4 avril 2026 un correctif d'urgence hors cycle pour une vulnérabilité critique dans FortiClient Enterprise Management Server. Référencée CVE-2026-35616 avec un score CVSS de 9.1, cette faille de type CWE-284 (contrôle d'accès inapproprié) permet à un attaquant non authentifié de contourner les mécanismes d'authentification et d'autorisation de l'API pour exécuter du code arbitraire via des requêtes spécialement forgées. La vulnérabilité a été découverte par Simo Kohonen de Defused Cyber et Nguyen Duc Anh, qui l'ont signalée de manière responsable à Fortinet. Selon les chercheurs de watchTowr, les premiers honeypots ont enregistré des tentatives d'exploitation dès le 31 mars 2026, soit plusieurs jours avant la publication officielle du correctif, confirmant le statut de zero-day de cette vulnérabilité. Le CISA a réagi rapidement en ajoutant CVE-2026-35616 à son catalogue KEV (Known Exploited Vulnerabilities) le 6 avril 2026, imposant aux agences fédérales américaines un délai de correction au 9 avril. Cette chronologie extrêmement serrée témoigne de la gravité de la menace et de l'urgence du déploiement des correctifs pour toutes les organisations utilisant FortiClient EMS.
FortiClient EMS est un outil de gestion centralisée largement déployé dans les entreprises pour administrer les agents FortiClient sur l'ensemble du parc. Une compromission de ce composant donne potentiellement accès à la gestion de tous les postes de travail protégés par FortiClient, ce qui en fait une cible de choix pour les attaquants. Ce n'est pas la première fois que Fortinet fait face à des attaques ciblant sa chaîne logicielle et ses produits de sécurité. Les organisations qui dépendent de l'écosystème Fortinet doivent considérer ce type de vulnérabilité comme un risque systémique majeur nécessitant une stratégie de sécurité proactive.
Impact et exposition
Toutes les organisations utilisant FortiClient EMS versions 7.4.5 et 7.4.6 sont directement exposées. L'exploitation ne nécessite aucune authentification préalable, ce qui signifie que tout FortiClient EMS accessible depuis le réseau — et a fortiori depuis Internet — peut être compromis. Une exploitation réussie permet l'exécution de code avec les privilèges du service EMS, ouvrant la voie à une prise de contrôle complète du serveur de gestion et, par extension, de l'ensemble des endpoints administrés. Les secteurs les plus exposés sont ceux qui utilisent massivement FortiClient en environnement distribué : santé, éducation, services managés et administrations. Le fait que l'exploitation soit active depuis fin mars signifie que certaines organisations ont potentiellement déjà été compromises sans le savoir. Comme observé récemment avec d'autres vulnérabilités critiques sur des appliances réseau, les attaquants ciblent systématiquement les outils de gestion centralisée pour maximiser leur impact.
Recommandations
- Appliquer immédiatement le hotfix Fortinet pour FortiClient EMS 7.4.5 et 7.4.6 — ne pas attendre la version 7.4.7
- Vérifier les logs d'accès API de FortiClient EMS pour toute requête suspecte depuis le 31 mars 2026
- Restreindre l'accès réseau à l'interface d'administration EMS aux seules adresses IP autorisées
- Rechercher des indicateurs de compromission (connexions inhabituelles, comptes créés, modifications de politique)
- Surveiller les publications Fortinet pour la sortie de la version 7.4.7 avec le correctif définitif
Alerte critique
Exploitation active confirmée par des honeypots depuis le 31 mars 2026. Si votre FortiClient EMS est exposé sur Internet sans le hotfix, considérez-le comme potentiellement compromis et lancez une investigation forensique immédiate. La fenêtre de réponse se réduit drastiquement face à ce type de menace.
Comment savoir si mon FortiClient EMS a été compromis avant l'application du patch ?
Analysez les logs d'accès API de FortiClient EMS en recherchant des requêtes inhabituelles sur les endpoints d'authentification depuis le 31 mars 2026. Vérifiez également la présence de nouveaux comptes administrateurs, de modifications de politiques de sécurité non planifiées, ou de connexions sortantes anormales depuis le serveur EMS. Fortinet recommande aussi de vérifier l'intégrité des fichiers du serveur EMS et de comparer avec une installation propre.
Quelles versions de FortiClient EMS sont concernées par CVE-2026-35616 ?
Seules les versions 7.4.5 et 7.4.6 de FortiClient EMS sont affectées. Les versions antérieures à 7.4.5 et la future version 7.4.7 ne sont pas vulnérables. Un hotfix est disponible pour les deux versions concernées sur le portail de support Fortinet. Son déploiement est prioritaire et ne doit pas attendre une fenêtre de maintenance classique.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-39987 : RCE dans Marimo exploitée en 10 heures
CVE-2026-39987 (CVSS 9.3) dans Marimo : l'endpoint WebSocket /terminal/ws expose un shell complet sans authentification. Exploitation active en moins de 10 heures après divulgation.
CVE-2026-20160 : RCE root critique dans Cisco SSM On-Prem
Cisco corrige CVE-2026-20160 (CVSS 9.8), une faille critique dans SSM On-Prem permettant l'exécution de commandes root à distance sans authentification. PoC public disponible.
JanelaRAT : le malware bancaire qui frappe l'Amérique latine
JanelaRAT a frappé plus de 26 000 cibles au Brésil et au Mexique en 2025. Ce trojan bancaire évolué utilise le DLL side-loading pour échapper aux détections.
Commentaires (1)
Laisser un commentaire