Fortinet corrige en urgence la faille CVE-2026-35616 dans FortiClient EMS, activement exploitée depuis fin mars. CISA impose un patch immédiat.
En bref
- Une faille critique CVE-2026-35616 (CVSS 9.1) dans FortiClient EMS est activement exploitée depuis le 31 mars 2026.
- Toutes les organisations utilisant FortiClient EMS 7.4.5 et 7.4.6 sont concernées.
- La CISA exige un correctif avant le 9 avril 2026 pour les agences fédérales américaines.
Ce qui s'est passé
Fortinet a publié en urgence un correctif pour une vulnérabilité zero-day dans FortiClient EMS, sa plateforme de gestion centralisée des endpoints. Référencée CVE-2026-35616, cette faille de contournement d'accès API pré-authentification permet à un attaquant non authentifié d'exécuter du code arbitraire via des requêtes spécialement conçues. Le score CVSS de 9.1 sur 10 témoigne de la gravité exceptionnelle de cette vulnérabilité.
Selon les chercheurs de watchTowr, les premières tentatives d'exploitation ont été détectées sur leurs honeypots dès le 31 mars 2026, soit plusieurs jours avant la publication du correctif officiel. Les versions affectées sont FortiClient EMS 7.4.5 et 7.4.6, et Fortinet a diffusé un hotfix en attendant la sortie complète de la version 7.4.7.
Face à l'exploitation active confirmée, la CISA (Cybersecurity and Infrastructure Security Agency) a ajouté cette CVE à son catalogue KEV le 6 avril 2026, imposant aux agences fédérales américaines un délai de correction expirant le 9 avril 2026. Fortinet a confirmé avoir observé des exploitations en conditions réelles et presse ses clients d'appliquer le correctif immédiatement.
Pourquoi c'est important
FortiClient EMS est déployé dans des milliers d'entreprises pour gérer la sécurité des postes de travail à distance. Une compromission de cette plateforme donne potentiellement accès à l'ensemble du parc informatique géré, ce qui en fait une cible de choix pour les attaquants. La nature pré-authentification de la faille signifie qu'aucun identifiant n'est nécessaire pour l'exploiter, abaissant drastiquement la barrière d'entrée.
Fortinet accumule les vulnérabilités critiques ces derniers mois, et les produits de l'éditeur restent des cibles privilégiées des groupes APT. Les entreprises françaises utilisant FortiClient EMS doivent considérer ce correctif comme une priorité absolue, d'autant que l'ANSSI avait déjà alerté sur la recrudescence des attaques ciblant les équipements Fortinet.
Ce qu'il faut retenir
- Appliquer immédiatement le hotfix Fortinet pour FortiClient EMS 7.4.5 et 7.4.6, sans attendre la version 7.4.7.
- Vérifier les journaux d'accès API de FortiClient EMS pour détecter d'éventuelles tentatives d'exploitation depuis le 31 mars.
- Mettre en place une surveillance renforcée des équipements Fortinet et planifier une revue régulière des correctifs de sécurité.
Comment savoir si mon FortiClient EMS a été compromis ?
Examinez les journaux d'accès API pour repérer des requêtes inhabituelles depuis le 31 mars 2026. Recherchez des connexions depuis des adresses IP inconnues et des créations de comptes administrateurs non autorisées. Fortinet fournit des indicateurs de compromission (IoC) dans son advisory. En cas de doute, isolez le serveur EMS et contactez votre équipe de réponse à incident.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Corée du Nord : 1 700 paquets malveillants infiltrent npm et PyPI
Des hackers nord-coréens ont infiltré 1 700 paquets malveillants dans npm, PyPI, Go et Rust, ciblant les développeurs via la supply chain logicielle.
Uber mise sur les puces IA d'Amazon pour son cloud
Uber étend son contrat AWS et adopte les puces Trainium3 d'Amazon pour ses workloads IA, rejoignant Anthropic, OpenAI et Apple.
Affinity : fuite de données après compromission d'un admin forum
Le forum d'Affinity compromis le 6 avril via un compte admin piraté. Emails, IP et métadonnées exposés. Changez vos mots de passe et surveillez le phishing ciblé.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire