CVE-2026-35616 FortiClient EMS : EKZ, infostealer furtif

Un header forgé suffit : comment CVE-2026-35616 ouvre l'accès à tout FortiClient EMS

Les entreprises qui s'appuient sur FortiClient Enterprise Management Server pour centraliser la gestion de la sécurité de leurs endpoints font face à une menace critique documentée par Arctic Wolf et The Hacker News en mai 2026. La vulnérabilité CVE-2026-35616, découverte dans l'implémentation du contrôle d'accès à l'API de FortiClient EMS, permet à un attaquant non authentifié de contourner intégralement les mécanismes d'authentification en forgeant un unique header HTTP. L'exploitation réussie de cette faille ouvre un accès privilégié complet à la plateforme de gestion, ce qui lui vaut un score CVSS de 9,1 et une classification critique dans les bulletins de sécurité Fortinet.

FortiClient EMS est un composant central de l'écosystème Fortinet Security Fabric pour les entreprises. Il permet aux équipes IT de déployer, configurer et mettre à jour FortiClient sur des milliers de machines simultanément depuis une console centralisée. C'est précisément cette capacité de distribution centralisée et la confiance implicite que lui accordent les systèmes gérés qui font de FortiClient EMS une cible d'une valeur stratégique exceptionnelle pour les acteurs malveillants : compromettre le serveur de gestion, c'est obtenir un canal direct et authentifié vers l'intégralité du parc endpoint de l'organisation cible, sans avoir à s'introduire individuellement sur chaque machine.

L'exploitation documentée par Arctic Wolf en mai 2026 montre une campagne d'attaque qui tire parti de cette logique à la perfection. Une fois l'accès à l'API de FortiClient EMS obtenu via le bypass CVE-2026-35616, les attaquants utilisent le canal de gestion légitime de la plateforme pour envoyer des commandes PowerShell malveillantes à l'ensemble des endpoints gérés. Ces commandes sont traitées par les systèmes cibles comme des directives de gestion ordinaires, indiscernables des opérations légitimes sans une analyse approfondie du contenu des instructions transmises. L'ensemble du parc endpoint peut être compromis en quelques minutes depuis un unique point d'entrée.

La charge utile déployée via ce canal a été baptisée EKZ par les chercheurs d'Arctic Wolf, d'après les noms de symboles internes extraits du code après déchiffrement et analyse approfondie. EKZ est présenté aux systèmes de sécurité et aux utilisateurs comme une mise à jour d'endpoint Fortinet : il porte un nom de fichier cohérent avec les binaires légitimes de l'éditeur. L'exécutable est lancé silencieusement via PowerShell sans aucune interaction de la part de l'utilisateur final. Le choix délibéré du déguisement, imiter précisément une mise à jour du logiciel que FortiClient EMS est chargé de gérer, témoigne d'une connaissance précise de la chaîne de confiance dans les environnements Fortinet.

Une fois installé sur un endpoint, EKZ déploie ses capacités de vol d'informations sur plusieurs fronts simultanément. Il cible en priorité les navigateurs Chrome et Firefox, en utilisant des techniques avancées pour contourner les mécanismes de chiffrement du stockage des mots de passe introduits par Google dans les versions récentes de Chrome, notamment l'App-Bound Encryption. Il extrait les cookies de session, données de valeur critique permettant d'accéder à des services en ligne sans connaître le mot de passe de l'utilisateur, ainsi que toutes les données de remplissage automatique : numéros de carte bancaire, adresses physiques et numéros de téléphone. L'ensemble de ces données est exfiltré vers l'infrastructure de commandement et contrôle des attaquants.

L'analyse technique détaillée publiée par Dark Web Informer et Specops Software révèle que l'exploitation de CVE-2026-35616 repose sur un mécanisme d'improper access control dans le traitement des requêtes API côté serveur FortiClient EMS. En envoyant une requête HTTP avec un header spécifiquement forgé, l'attaquant incite le serveur à traiter la connexion comme si elle provenait d'un client authentifié avec des privilèges élevés. La simplicité relative de l'exploitation, un seul header à manipuler, signifie que des acteurs de différents niveaux de sophistication technique peuvent s'en emparer rapidement, d'autant que des détails techniques ont été publiés dans des rapports accessibles publiquement au cours du mois de mai 2026.

Les rapports d'Arctic Wolf, société de détection et réponse gérée qui surveille en continu les environnements de ses clients, indiquent avoir observé un cluster d'activité malveillante significatif affectant des endpoints gérés par FortiClient EMS dans plusieurs secteurs distincts. L'utilisation de FortiClient EMS étant répandue dans des environnements à haute maturité sécurité — grandes entreprises, secteur financier, industrie de défense, administrations — le potentiel d'impact est considérable si la campagne venait à s'étendre à d'autres organisations n'ayant pas encore appliqué le correctif disponible depuis la version 7.4.7 de FortiClient EMS.

Pour les organisations qui ne peuvent pas déployer le patch dans l'immédiat, plusieurs mesures de mitigation temporaires sont recommandées : restriction de l'accès réseau à l'API FortiClient EMS par des règles de firewall limitant les connexions aux seules adresses IP d'administration autorisées, surveillance renforcée des logs d'accès API pour détecter des connexions provenant d'adresses non reconnues, et audit systématique des commandes PowerShell récemment exécutées sur les endpoints gérés pour identifier une éventuelle compromission déjà en cours.

Quand l'outil de sécurité devient le vecteur d'attaque privilégié

L'exploitation de CVE-2026-35616 illustre parfaitement une dynamique de menace en forte accélération : les acteurs malveillants ciblent délibérément les outils de sécurité et de gestion des endpoints eux-mêmes. La logique est imparable depuis la perspective de l'attaquant. Un outil comme FortiClient EMS bénéficie par définition d'une confiance maximale dans l'infrastructure qu'il administre : il est autorisé à déployer des logiciels, à exécuter des commandes sur les endpoints, à modifier les configurations de sécurité et à communiquer avec l'ensemble du parc. Compromettre ce type d'outil confère instantanément à l'attaquant ces mêmes capacités, sans avoir à escalader les privilèges individuellement sur chaque machine du parc, réduisant le temps d'attaque de plusieurs jours à quelques minutes.

Ce vecteur d'attaque, que l'on peut qualifier de living off trusted tools par analogie avec la technique bien connue du living off the land qui exploite les outils légitimes du système d'exploitation, est une tendance documentée en forte progression en 2025-2026. Des incidents similaires ont ciblé des plateformes RMM utilisées par les MSP pour distribuer des ransomwares à leurs clients, des outils de déploiement logiciel d'entreprise pour contaminer des parcs entiers, et maintenant FortiClient EMS. La particularité aggravante dans ce dernier cas est que la cible est un outil de sécurité : sa compromission est d'autant plus difficile à suspecter pour les équipes de défense qui font naturellement confiance à ses communications et à ses déploiements.

Pour les organisations utilisant FortiClient EMS, cette campagne doit constituer l'occasion de revoir les processus de validation des packages déployés via les outils de gestion centralisée. Même dans un environnement géré de manière centralisée et a priori de confiance, des mécanismes de vérification d'intégrité des packages avant déploiement, notamment la vérification des signatures numériques émises par Fortinet et la validation de hashes officiels publiés par l'éditeur, constituent une barrière supplémentaire permettant de détecter un package malveillant avant son exécution sur les endpoints gérés.

La réglementation NIS2, en vigueur en Europe et progressivement transposée dans les droits nationaux des États membres, impose aux opérateurs d'entités essentielles et importantes de mettre en place des processus rigoureux de gestion des vulnérabilités. L'exploitation rapide de CVE-2026-35616 dans des environnements où le correctif FortiClient EMS 7.4.7 n'avait pas encore été déployé est exactement le scénario que NIS2 cherche à prévenir par ses exigences de veille et de patching. Les responsables sécurité d'organisations soumises à NIS2 doivent traiter ce type de vulnérabilité critique affectant des outils de gestion centralisée comme une priorité absolue, avec des délais de déploiement mesurés en heures et non en jours.

Ce qu'il faut retenir

• Mettre à jour FortiClient EMS vers la version 7.4.7 en urgence pour corriger CVE-2026-35616 (CVSS 9.1, bypass d'authentification API pré-authentification).
• Auditer les commandes PowerShell récemment exécutées sur les endpoints gérés par FortiClient EMS pour détecter une éventuelle compromission par l'infostealer EKZ.
• Renforcer les contrôles d'intégrité sur les packages déployés via les outils de gestion centralisée : même un outil de confiance peut être détourné pour distribuer des malwares déguisés en mises à jour officielles de l'éditeur.