En bref

  • FortiBleed : 430 000 FortiGate ciblés, 19 000 compromis avec sniffer actif, 105 millions de credentials exfiltrés — campagne confirmée début juillet 2026
  • FortigateSniffer (Golang) détourne la commande native diagnose sniffer packet de FortiOS pour capturer 24 protocoles d'authentification simultanément sans alerte
  • Connexion directe aux groupes ransomware INC Ransom et Lynx : 12 déploiements ransomware confirmés, 354 organisations avec domaine Active Directory totalement compromis

Les faits

FortiBleed est le nom attribué par les chercheurs de SOCRadar, BleepingComputer et Mandiant à une vaste campagne de vol de credentials ciblant les équipements réseau Fortinet FortiGate à l'échelle mondiale. Les analyses publiées début juillet 2026 révèlent l'ampleur réelle de l'opération : 430 000 pare-feux FortiGate ciblés, 19 000 appareils sur lesquels des sniffers de trafic réseau ont été déployés et actifs, 105 millions de couples identifiants/mots de passe capturés à travers 659 pipelines de collecte automatisés, et 1,16 milliard de tentatives de connexion exécutées contre 320 000 cibles FortiGate. Ces chiffres n'ont pas de précédent dans l'histoire des attaques ciblant des équipements réseau.

Le mécanisme technique au cœur de FortiBleed repose sur un outil développé en Golang, baptisé FortigateSniffer. Cet outil détourne une fonctionnalité native et parfaitement légitime de FortiOS : la commande diagnose sniffer packet. Il s'agit d'un utilitaire de diagnostic réseau intégré au système d'exploitation de tous les FortiGate, conçu à l'origine pour permettre aux administrateurs réseau de capturer et analyser le trafic transitant par le pare-feu. FortigateSniffer orchestre l'exécution de cette commande sur des centaines d'instances simultanément, en filtrant spécifiquement les ports des protocoles d'authentification d'entreprise : Kerberos (88), LDAP (389/636), RADIUS (1812/1813), RDP (3389), MSSQL (1433), et de nombreux autres. Le paramètre de verbosité maximale est utilisé pour capturer les payloads complets — y compris les credentials en clair ou les hashes d'authentification. Ce choix d'outil natif n'est pas accidentel : il s'inscrit dans la logique du Living off the Land appliquée aux équipements réseau.

L'accès initial aux FortiGate a été obtenu par trois vecteurs combinés selon les analyses de Mandiant et SOCRadar : credential stuffing à partir de bases de données d'identifiants issus de fuites antérieures (plusieurs dizaines de milliers de configurations FortiGate avaient été publiées sur des forums cybercriminels en 2024 et 2025, incluant des identifiants administrateurs), force brute sur des comptes disposant de mots de passe faibles ou par défaut, et réutilisation de credentials volés lors d'incidents tiers sur lesquels les utilisateurs avaient recyclé le même mot de passe pour leur accès VPN ou interface admin FortiGate. Aucune exploitation de vulnérabilité technique n'est requise dans cette phase — la porte d'entrée est simplement une hygiène insuffisante des credentials.

L'analyse publiée par SOCRadar apporte un élément particulièrement préoccupant sur l'organisation opérationnelle : un opérateur avec accès à l'infrastructure FortiBleed était activement connecté simultanément aux panneaux de négociation des deux groupes ransomware INC Ransom et Lynx, gérant des demandes de rançon en temps réel. FortiBleed n'est donc pas un service de revente de credentials — c'est une infrastructure intégrée couvrant la chaîne d'attaque complète, de la compromission initiale du réseau périmétrique jusqu'au déploiement du ransomware et à la négociation. Au moins 12 déploiements de ransomware ont été directement tracés à des accès FortiBleed, avec des centaines d'endpoints chiffrés dans les organisations identifiées.

Les statistiques de progression interne documentées par Mandiant illustrent la valeur opérationnelle d'un FortiGate compromis. Parmi les 430 000 cibles, 409 ont subi une compromission confirmée au niveau administrateur FortiGate. Sur ces 409, 354 — soit 86 % — ont subi la chaîne complète : compromission VPN, pivotage vers le réseau interne, accès au contrôleur de domaine Active Directory, obtention de droits Domain Admin. Ce taux de 86 % de progression du FortiGate compromis jusqu'au domain admin est un indicateur brutal : contrôler le pare-feu de périmètre revient dans la grande majorité des cas à contrôler l'intégralité de l'infrastructure interne.

Lynx, l'un des deux groupes ransomware liés à FortiBleed, opère depuis 2024 comme une opération RaaS (Ransomware-as-a-Service) ciblant les PME et ETI en Amérique du Nord et en Europe occidentale, avec des demandes de rançon entre 50 000 et 500 000 dollars selon la taille de la cible. INC Ransom, actif depuis mi-2023, pratique la double extorsion systématique : chiffrement combiné à l'exfiltration et à la menace de publication sur son site de leak. La convergence des deux groupes autour de la même infrastructure FortiBleed suggère soit une affiliation opérationnelle commune, soit un modèle de partage d'accès via un intermédiaire (access broker).

Les secteurs les plus représentés parmi les victimes confirmées incluent les services financiers, les établissements de santé, l'industrie manufacturière et les prestataires de services managés (MSP). Ce dernier secteur mérite une attention particulière : un MSP dont le FortiGate de gestion est compromis offre aux attaquants un point d'accès aux réseaux de l'ensemble de ses clients via les outils de monitoring et de déploiement centralisés. Le schéma MSP-comme-pivot avait déjà été documenté lors des campagnes Kaseya (2021) et ToolShell-MSP (2025) — FortiBleed suit le même modèle en ciblant l'équipement central à l'infrastructure de gestion des MSP.

Fortinet a réagi à la divulgation publique de FortiBleed en publiant une advisory d'urgence recommandant la réinitialisation complète de tous les credentials administrateurs et VPN, ainsi que la mise à jour vers les versions FortiOS les plus récentes. La société a notifié directement 11 000 clients confirmés compromis (sur les 19 000 initialement identifiés), la réduction reflétant les actions de remédiation engagées après notification. Des indicateurs de compromission (IoC) incluant les hashes MD5/SHA256 des binaires FortigateSniffer et les plages d'adresses IP des serveurs C2 ont été publiés par Fortinet PSIRT et SOCRadar.

Impact et exposition

Tout équipement FortiGate exposé à Internet avec des credentials administrateurs ou VPN faibles, réutilisés ou issus d'une base de données compromise doit être considéré comme potentiellement affecté par FortiBleed, avec une fenêtre d'exposition s'étendant sur plusieurs mois avant la divulgation de juillet 2026. Les organisations utilisant des FortiGate comme passerelles VPN SSL — configuration dominante dans les PME et administrations françaises — sont directement exposées à une compromission complète de leur infrastructure interne via pivotage réseau. Les données à risque incluent l'ensemble des credentials réseau capturés en transit : mots de passe Kerberos, hash NTLM, sessions RDP, credentials LDAP — soit potentiellement l'intégralité des identifiants d'un domaine Active Directory.

Recommandations

  • Réinitialiser immédiatement tous les mots de passe des comptes administrateurs et des utilisateurs VPN sur l'ensemble des FortiGate du parc — sans exception, sans attendre les résultats d'un audit préalable.
  • Activer le MFA sur toutes les interfaces d'administration FortiGate et sur les portails VPN SSL ; appliquer les mises à jour FortiOS disponibles.
  • Auditer les logs FortiOS via diagnose debug history pour détecter toute exécution de diagnose sniffer packet sur des durées anormalement longues ou sur des ports d'authentification depuis le 1er janvier 2026.
  • Vérifier l'intégrité du domaine Active Directory : comptes nouvellement créés, modifications dans Domain Admins, changements de GPO, réplication inhabituelle.
  • En cas de FortiGate exposé sans MFA sur l'interface admin, traiter la compromission comme confirmée jusqu'à preuve du contraire et engager un processus de réponse à incident.

Alerte critique

FortiBleed est une opération de compromission de masse active, directement connectée à INC Ransom et Lynx. 430 000 FortiGate ciblés, 105 millions de credentials volés, 354 organisations avec domaine Active Directory totalement compromis. Si votre FortiGate est ou a été exposé à Internet sans MFA, la réinitialisation complète des credentials réseau — pas seulement le mot de passe admin Fortinet — est une action immédiate et non négociable.

Comment vérifier si mon FortiGate a servi de sniffer actif dans FortiBleed ?

Fortinet a publié une procédure de vérification dans son advisory de juillet 2026. Elle consiste à : (1) auditer l'historique CLI via diagnose debug history — rechercher des exécutions répétées ou longue durée de diagnose sniffer packet depuis des sessions non attribuées à vos administrateurs habituels ; (2) vérifier les connexions sortantes inhabituelles depuis l'équipement vers des IP externes non documentées — les hashes des binaires FortigateSniffer et les plages IP C2 de FortiBleed sont disponibles dans les advisories Fortinet PSIRT et SOCRadar ; (3) contrôler les logs d'authentification pour des connexions admin depuis des IP inhabituelles ou à des horaires atypiques depuis janvier 2026.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit