Le 17 juin 2026, les chercheurs d’Hudson Rock ont révélé l’une des campagnes de piratage les plus étendues jamais documentées contre des équipements réseau. Baptisée FortiBleed, cette opération a compromis 75 000 pare-feux et passerelles VPN Fortinet dans 194 pays, volant les identifiants d’entreprises Fortune 500 et d’agences gouvernementales. En parallèle, trois failles critiques dans FortiSandbox, dont deux à CVSS 9.1, étaient activement exploitées. La combinaison d’une campagne de credential harvesting à grande échelle et de vulnérabilités critiques non patchées place cet incident parmi les plus graves de 2026 pour la sécurité des réseaux d’entreprise.
FortiBleed en chiffres : une campagne d’une ampleur sans précédent
Les données publiées par Hudson Rock donnent le vertige. La campagne FortiBleed a ciblé 73 932 URL de pare-feux uniques répartis dans 194 pays, compromettant 21 632 domaines distincts. Au total, environ 75 000 appareils Fortinet, principalement des pare-feux FortiGate et des passerelles SSL-VPN, ont été infiltrés selon les premières estimations.
La firme de surveillance cybercriminelle a qualifié l’opération de « stupéfiante » dans son blog du 17 juin 2026, précisant que « l’ampleur de cette violation touche presque tous les secteurs de l’économie mondiale, affectant toutes les industries ». Des preuves de vol de mots de passe ont été relevées dans plus de 15 pays, avec une concentration d’appareils compromis aux États-Unis, en Inde et à Taiwan.
Parmi les victimes identifiées figurent des entreprises du Fortune 500 et des agences gouvernementales. Hudson Rock a détaillé le cas de cinq entités gouvernementales de Porto Rico, où environ 120 identifiants uniques ont été exfiltrés. Le chercheur Volodymyr “Bob” Diachenko, qui a alerté le premier sur LinkedIn avant la publication officielle, a décrit une approche « multicouche » de craquage de mots de passe d’une sophistication rare.
Mécanisme d’attaque : credential stuffing, brute-force et données antérieures
FortiBleed ne repose pas sur une nouvelle faille zero-day dans les produits Fortinet. Les attaquants ont adopté une stratégie hybride en trois phases. Première phase : utilisation de bases de données de credentials volés lors de précédents incidents pour tenter des connexions sur les portails SSL-VPN exposés à Internet. Deuxième phase : attaques par dictionnaire ciblant les mots de passe faibles ou génériques. Troisième phase : brute-force automatisé contre les interfaces d’administration accessibles depuis le web.
Fortinet l’a confirmé dans sa communication aux médias : « Les attaquants utilisent des données provenant d’incidents antérieurs et appliquent des techniques de brute-force pour pénétrer dans les réseaux ou appareils ciblés. Cette activité malveillante n’est pas liée à un incident ou à un avis récent. » La société a insisté sur le fait qu’aucune nouvelle vulnérabilité dans ses produits n’est à l’origine de la campagne principale.
Volodymyr Diachenko a décrit une infrastructure d’attaque organisée en couches, avec des scripts contenant des instructions en langue russe, preuve d’une opération pilotée par un groupe russophone structuré. SOCRadar a identifié « un groupe russophone multi-opérateurs conduisant une récolte massive d’identifiants contre les appliances FortiGate SSL-VPN dans le monde entier ». La précision du ciblage, selon les chercheurs, exclut des essais au hasard : les cibles ont été sélectionnées délibérément.
Attribution : un groupe cybercriminel russophone multi-opérateurs
Les éléments techniques accumulés par les chercheurs pointent vers un groupe cybercriminel russophone à motivation financière. SOCRadar décrit une organisation « multi-opérateurs » coordonnant plusieurs équipes d’attaquants en simultané, ce qui explique la capacité à maintenir 73 932 URLs ciblées dans 194 pays en même temps.
Volodymyr Diachenko a précisé que les scripts trouvés dans les données compromises incluaient des « instructions en langue russe », confirmant l’origine géographique probable de l’opération. Contrairement à des campagnes attribuées officiellement à des APT d’État comme APT28 ou Sandworm, FortiBleed semble relever du cybercrime organisé à but lucratif, bien que la frontière reste floue dans l’écosystème cybercriminel russophone où intérêts criminels et étatiques se chevauchent régulièrement.
Les chercheurs d’Hudson Rock ont précisé que les identifiants volés pourraient permettre aux attaquants de « pénétrer plus profondément dans ces organisations et de voler des données ». L’objectif final reste probablement la revente de ces accès sur des forums cybercriminels ou leur exploitation directe pour des attaques ransomware à double extorsion, un schéma bien documenté pour les groupes russophones actifs en 2026.
CVE-2026-39813 et CVE-2026-39808 : les failles critiques FortiSandbox exploitées
Parallèlement à la campagne FortiBleed de credential harvesting, la firme Defused Cyber a signalé mi-juin 2026 l’exploitation active de trois vulnérabilités critiques dans FortiSandbox. Ces failles distinctes mais concomitantes amplifient considérablement la surface d’attaque pour les clients Fortinet.
| CVE | Score CVSS | Type de faille | Produit affecté | Patch disponible | Statut juin 2026 |
|---|---|---|---|---|---|
| CVE-2026-39813 | 9.1 (Critique) | Path traversal JRPC API | FortiSandbox | Avril 2026 | Exploitée activement |
| CVE-2026-39808 | 9.1 (Critique) | Injection de commandes OS | FortiSandbox | Avril 2026 | Exploitée activement |
| CVE-2026-25089 | Non divulgué | Non précisé | FortiSandbox | Non précisé | Exploitée activement |
CVE-2026-39813 est une vulnérabilité de traversée de chemin dans l’API JRPC de FortiSandbox, permettant à un attaquant non authentifié de contourner l’authentification via des requêtes HTTP spécialement forgées. CVE-2026-39808 est une injection de commandes OS autorisant l’exécution de code arbitraire sans authentification préalable. Les deux failles, avec un CVSS de 9.1, avaient été corrigées par Fortinet en avril 2026.
The Hacker News, citant Defused Cyber, a documenté ces exploitations « au cours des 24 dernières heures » avant le 16 juin 2026. La fenêtre de deux mois entre le patch et l’exploitation massive illustre un problème systémique : le retard dans l’application des correctifs de sécurité pour les équipements réseau en production. Les organisations qui n’ont pas appliqué les mises à jour d’avril 2026 restent pleinement exposées.
Secteurs et pays touchés : Fortune 500, gouvernements, 15 nations
La géographie de FortiBleed reflète la distribution mondiale des déploiements Fortinet. Les États-Unis concentrent la majorité des appareils compromis, suivis par l’Inde et Taiwan. En Europe, des organisations britanniques font partie des victimes potentielles identifiées, ce qui a conduit le National Cyber Security Centre (NCSC) du Royaume-Uni à émettre une alerte formelle dès le 18 juin 2026.
Les secteurs touchés couvrent, selon Hudson Rock, « presque tous les secteurs de l’économie mondiale ». Les entreprises Fortune 500 sont explicitement mentionnées, indiquant que des géants de la finance, de la technologie, de la santé et de l’énergie figurent parmi les victimes. Les cinq entités gouvernementales de Porto Rico constituent le cas documenté le plus précis avec 120 identifiants exfiltrés.
Un accès VPN compromis donne à l’attaquant un point d’entrée sur le réseau interne de l’organisation, contournant l’ensemble des protections périmétriques. À partir de là, les possibilités de mouvement latéral, d’exfiltration de données et de déploiement de ransomware sont considérables. Le risque n’est pas théorique : les forums cybercriminels russophones vendent régulièrement des accès VPN à des opérateurs de ransomware à des prix allant de quelques centaines à plusieurs milliers de dollars selon la taille de l’organisation cible.
La réponse de Fortinet : gestion de crise et recommandations
Fortinet a confirmé « être au courant d’une campagne visant à voler les identifiants de connexion de ses produits pare-feux et VPN ». Dans sa déclaration à The Hacker News, la société a argué que « les organisations qui suivent les bonnes pratiques habituelles, notamment en faisant régulièrement pivoter les identifiants de sécurité et en activant l’authentification multifacteur, font face à un risque minimal de la compromission des identifiants détaillée dans ces rapports ».
Fortinet a également précisé qu’un blog de recommandations publié en mars 2026 détaillait les mesures préventives. La société a renvoyé vers ce document pour les organisations souhaitant se protéger, sans annoncer de mesures proactives pour contacter directement les clients potentiellement affectés.
Pour les failles FortiSandbox (CVE-2026-39813 et CVE-2026-39808), Fortinet avait publié les patches en avril 2026 et pressait ses clients de les appliquer immédiatement. Ces correctifs existaient deux mois avant que les exploitations actives ne soient signalées, ce qui soulève des questions sur les processus de mise à jour dans les grandes organisations.
Alerte officielle du NCSC britannique : réinitialisation d’usine recommandée
Le National Cyber Security Centre du Royaume-Uni a publié une alerte formelle intitulée « NCSC issues advice following global targeting of Fortinet firewalls and VPN gateways ». Ce document constitue l’avis gouvernemental le plus complet et le plus actionnable sur la gestion de l’incident FortiBleed.
L’alerte du NCSC identifie une séquence de réponse structurée. Les organisations utilisant des équipements Fortinet avec SSL-VPN activé doivent d’abord confirmer si leur appareil figure dans les données compromises, puis analyser les journaux d’activité à la recherche de comportements anormaux : connexions inhabituelles, créations de comptes non autorisés, activité à des heures atypiques.
Si une compromission est confirmée, le NCSC recommande explicitement la réinitialisation complète en configuration d’usine, précisant que « changer les identifiants seuls peut ne pas suffire si les acteurs de la menace ont établi une persistance sur l’appareil ». Cette recommandation forte indique que les attaquants pourraient avoir implanté des backdoors ou des mécanismes de persistance au-delà du simple vol de credentials. Après la réinitialisation, le NCSC prescrit une liste de mesures de durcissement incluant l’activation du PBKDF2 pour les comptes administrateurs, l’isolement des interfaces de gestion et la mise à jour vers la dernière version du firmware.
Contexte historique : Fortinet sous pression depuis 2019
FortiBleed n’est pas un événement isolé. Les équipements Fortinet, et particulièrement les passerelles SSL-VPN, font l’objet d’un ciblage systématique depuis plusieurs années. Fortinet a reconnu explicitement que les credentials utilisés dans FortiBleed provenaient d’« incidents précédents », créant un cycle préoccupant.
| Incident Fortinet | Année | Produit ciblé | Impact documenté | Nature de l’attaque |
|---|---|---|---|---|
| Fuite SSL-VPN CVE-2018-13379 | 2019-2021 | FortiGate SSL-VPN | 500 000+ identifiants publiés | Path traversal, patch non appliqué |
| Alerte CISA campagne APT | 2022 | FortiOS / FortiProxy | Organismes gouvernementaux US | Exploitation CVE-2022-40684 |
| Fuite données FortiSIEM | 2023 | FortiSIEM | Données clients exposées | CVE-2023-34992, RCE |
| Exploitation FortiOS zero-day | 2024 | FortiOS SSL-VPN | Infrastructure critique visée | CVE-2024-21762, zero-day |
| FortiBleed | 2026 | FortiGate + FortiSandbox | 75 000 appareils, 194 pays | Credential stuffing + CVE 9.1 |
La fuite de 2021, lors de laquelle plus de 500 000 identifiants FortiGate avaient été publiés sur un forum cybercriminel russophone, alimente encore aujourd’hui de nouvelles campagnes. Le cycle est systémique : des données volées lors d’incidents antérieurs restent exploitables des années plus tard si les organisations n’ont pas effectué une rotation complète de leurs credentials et invalidé toutes les sessions actives. Ce comportement récurrent des attaquants russophones exploitant des credentials anciens est documenté dans les rapports de Mandiant et de l’Agence de l’Union européenne pour la cybersécurité (ENISA).
Pourquoi les VPN et pare-feux restent la cible favorite
Les équipements réseau de périmètre représentent une cible structurellement attractive pour les groupes cybercriminels sophistiqués. Contrairement aux systèmes d’exploitation d’utilisateurs finaux, les appliances réseau sont rarement monitorées par des outils EDR classiques, difficiles à mettre à jour sans interruption de service, et constituent des points d’entrée sur l’ensemble du réseau interne.
La NSA, le CISA et leurs homologues européens ont publié de nombreux avis identifiant les VPN de marques comme Fortinet, Ivanti, Pulse Secure ou Palo Alto comme vecteurs d’intrusion prioritaires pour des acteurs avancés. La faille Ivanti Sentry CVE-2026-10523 (CVSS 10), exploitée en 24 heures, illustre la même tendance dans ce secteur. De même, la CVE-2026-0257 Palo Alto GlobalProtect a visé 8 entreprises sur 10 dans sa phase d’exploitation active.
FortiBleed s’inscrit dans ce schéma. La sophistication de l’infrastructure d’attaque, avec son « architecture multicouche de craquage de mots de passe » décrite par Diachenko, indique un investissement significatif en ressources. Cet investissement n’est rentable que si les organisations cibles ont des actifs de valeur accessibles via VPN, ce qui est précisément le cas des entreprises Fortune 500 et des administrations publiques. L’ENISA classe les attaques sur les équipements réseau de périmètre parmi les vecteurs d’intrusion les plus critiques en Europe dans son rapport annuel sur les menaces.
Guide de protection : 9 étapes pour sécuriser votre infrastructure Fortinet
La réponse à FortiBleed s’organise en deux phases. La première couvre la détection et le confinement immédiat. La seconde s’attaque au renforcement à long terme de l’infrastructure.
Phase 1 : détection et confinement immédiat
- Inventorier tous les équipements Fortinet exposés à Internet, en particulier ceux avec SSL-VPN ou interfaces d’administration accessibles publiquement.
- Analyser les journaux d’activité des 30 derniers jours : connexions à des horaires inhabituels, origines géographiques inattendues, créations de comptes non autorisés.
- Vérifier tous les comptes administrateurs : tout compte inconnu doit être supprimé immédiatement et l’incident signalé.
- Isoler les équipements suspects d’Internet et du réseau interne si une compromission est confirmée ou suspectée.
- Procéder à une réinitialisation d’usine complète si une compromission est avérée. Le NCSC indique que le changement de mot de passe seul est insuffisant si l’attaquant a établi une persistance.
Phase 2 : renforcement de l’infrastructure
- Appliquer les patches CVE-2026-39813 et CVE-2026-39808 disponibles depuis avril 2026 si ce n’est pas encore fait, ainsi que toute mise à jour FortiSandbox disponible.
- Activer l’authentification multifacteur (MFA) sur toutes les connexions VPN et interfaces d’administration, sans exception.
- Mettre à jour le firmware vers la dernière version et retirer immédiatement tout équipement en fin de vie.
- Désactiver l’exposition des interfaces d’administration sur Internet. Les accès admin doivent transiter par un réseau de gestion dédié, isolé du flux de production.
Impact réglementaire et marché : NIS2, RGPD et pression financière
Pour les organisations européennes, FortiBleed crée une double pression. Sur le plan réglementaire, une violation de données résultant de cet incident déclenche l’obligation de notification à l’autorité de protection des données compétente dans un délai de 72 heures (article 33 du RGPD). Les opérateurs de services essentiels couverts par NIS2 ont des obligations additionnelles avec des délais encore plus stricts et des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
Le contexte réglementaire est particulièrement tendu. En juin 2026, la Commission européenne a renvoyé la France et l’Espagne devant la Cour de justice de l’UE pour défaut de transposition de la directive NIS2 dans les délais impartis. Les organisations françaises opérant des infrastructures critiques font face à une double pression : un incident de sécurité actif impliquant potentiellement leurs équipements Fortinet et un cadre réglementaire en cours de renforcement accéléré.
Sur le plan marché, Fortinet (Nasdaq : FTNT) est directement exposé à une dégradation de la confiance de ses clients. Des incidents comparables chez des fournisseurs de sécurité ont historiquement provoqué des baisses de 5 à 12 % du cours de bourse dans les 48 heures suivant la divulgation. La réputation de Fortinet comme fournisseur d’équipements de sécurité est questionnée par la récurrence des incidents impliquant ses produits depuis 2019.
Ce que FortiBleed révèle sur la cybersécurité en 2026
FortiBleed met en lumière trois tendances structurelles. La première est la persistance des credentials volés : des données exfiltrées lors d’incidents antérieurs alimentent des campagnes actives des années plus tard. La rotation régulière des mots de passe et l’invalidation forcée des sessions restent des pratiques insuffisamment adoptées, même dans des organisations de grande taille.
La deuxième tendance est le retard systématique dans l’application des patches. Les CVE-2026-39813 et CVE-2026-39808 avaient été corrigées en avril 2026. Deux mois plus tard, elles étaient encore exploitées à grande échelle. Pour des équipements réseau critiques exposés à Internet, ce délai est inacceptable dans le contexte de menaces actuelles.
La troisième tendance est la professionnalisation du cybercrime russophone. Une infrastructure capable de cibler 73 932 URLs dans 194 pays simultanément représente un investissement considérable en temps, compétences et ressources. Ce niveau d’organisation dépasse le cybercrime opportuniste pour entrer dans la catégorie des opérations structurées, ce qui explique la capacité du groupe à maintenir une campagne d’une telle ampleur géographique.
5 prédictions pour les prochains mois
1. Des victimes supplémentaires identifiées dans les prochaines semaines. Avec 75 000 appareils compromis et 21 632 domaines affectés, les enquêtes menées par les CERT nationaux et les équipes de réponse à incidents révéleront des organisations supplémentaires. Des entités gouvernementales européennes et des opérateurs d’infrastructures critiques figureront probablement parmi les nouvelles victimes identifiées.
2. Des attaques ransomware exploitant ces accès VPN avant la fin du troisième trimestre 2026. Les credentials VPN volés ont une valeur marchande directe sur les forums cybercriminels, mais leur exploitation maximale passe par le déploiement de ransomware. Le délai habituel entre compromission initiale et déploiement de ransomware est de 3 à 6 semaines pour les groupes sophistiqués, plaçant le risque entre mi-juillet et fin août 2026.
3. L’ANSSI et d’autres agences européennes émettront des alertes formelles dans les jours à venir. Le NCSC britannique a déjà agi. L’ANSSI française, le BSI allemand et d’autres autorités nationales devraient suivre rapidement avec des recommandations adaptées à leurs contextes réglementaires respectifs, notamment dans le cadre des obligations NIS2.
4. La pression réglementaire sur les fournisseurs de VPN va s’accentuer. FortiBleed va alimenter les débats sur la responsabilité des fabricants d’équipements de sécurité. Dans le cadre du Cyber Resilience Act européen, les obligations de sécurité vont se renforcer, incluant des exigences de mises à jour automatiques et des délais de patch contraignants pour les équipements connectés.
5. Fortinet annoncera un programme de notification proactive des clients affectés. Sous la pression médiatique et réglementaire, le fournisseur devra mettre en place un système d’alerte directe aux organisations dont les équipements figurent dans la base de données compromise, s’alignant sur les pratiques de responsabilité des fournisseurs attendues sous NIS2 et le Cyber Resilience Act.
FAQ : FortiBleed et la sécurité des équipements Fortinet
Qu’est-ce que la campagne FortiBleed ?
FortiBleed est le nom donné par Hudson Rock à une campagne massive de vol d’identifiants ciblant les pare-feux FortiGate et passerelles SSL-VPN de Fortinet. Identifiée le 17 juin 2026, elle a compromis environ 75 000 appareils dans 194 pays via du credential stuffing, des attaques par dictionnaire et du brute-force automatisé.
Un nouveau zero-day Fortinet est-il à l’origine de FortiBleed ?
Non pour la campagne principale. Fortinet a confirmé que FortiBleed n’exploite pas de nouvelle vulnérabilité : les attaquants utilisent des credentials issus d’incidents antérieurs combinés à des techniques de brute-force. En parallèle, trois failles FortiSandbox (CVE-2026-39813 et CVE-2026-39808, CVSS 9.1) sont exploitées activement, mais elles concernent un produit différent et disposaient de patches depuis avril 2026.
Mon organisation est-elle concernée si elle utilise Fortinet ?
Toute organisation utilisant des équipements Fortinet avec des interfaces SSL-VPN ou d’administration exposées à Internet doit considérer qu’elle est potentiellement concernée. La vérification des journaux d’activité et la rotation immédiate des credentials sont prioritaires. Si votre FortiSandbox n’est pas patché depuis avril 2026, l’application des mises à jour est urgente.
Suffit-il de changer son mot de passe pour se protéger ?
Non, si une compromission est avérée. Le NCSC britannique recommande explicitement une réinitialisation complète en configuration d’usine, car les attaquants peuvent avoir établi des mécanismes de persistance au-delà des credentials. Le changement de mot de passe seul ne suffit pas à éliminer un attaquant ayant établi un accès persistant sur l’appareil.
Qui est derrière FortiBleed ?
Les analyses de SOCRadar et du chercheur Volodymyr Diachenko attribuent FortiBleed à un groupe cybercriminel russophone multi-opérateurs. La présence d’instructions en russe dans les scripts d’attaque et l’infrastructure utilisée pointent vers des acteurs russophones à motivation financière. Aucune attribution officielle à un APT spécifique n’a été faite à ce stade.
FortiBleed va-t-il déboucher sur des attaques ransomware ?
C’est le risque principal. Les accès VPN compromis constituent une ressource précieuse pour le déploiement de ransomware à double extorsion. Le délai habituel entre compromission initiale et déploiement de ransomware est de 3 à 6 semaines pour les groupes sophistiqués. Les organisations dont les équipements Fortinet sont exposés doivent traiter cet incident comme une urgence absolue.
Quelles obligations réglementaires découlent de FortiBleed pour les entreprises européennes ?
Si une organisation européenne a subi une violation de données résultant de cet incident, la notification à l’autorité de protection des données compétente est obligatoire sous 72 heures (RGPD). Les opérateurs de services essentiels couverts par NIS2 ont des obligations de notification d’incident supplémentaires avec des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial en cas de manquement.
Couverture associée
Pour approfondir les sujets liés à FortiBleed et aux cyberattaques sur les équipements réseau :
- CVE-2026-0257 : Palo Alto GlobalProtect exploité, 8 entreprises sur 10 ciblées (faille VPN similaire, même vecteur d’attaque)
- Faille Ivanti Sentry CVE-2026-10523 : CVSS 10, exploitée en 24 h (autre équipement réseau critique)
- Foxconn piraté par Nitrogen : 8 To volés, Apple et Nvidia exposés (accès initial via infrastructure compromise)
- Tchap Piraté : 73 467 Agents, 643 000 Messages Volés (attaque contre infrastructure gouvernementale française)
- Cyberattaque Commission européenne : 340 Go volés (contexte des attaques sur institutions européennes)
Sources : The Hacker News (16 juin 2026), NCSC UK Advisory, Hudson Rock, CVE-2026-39813 (MITRE), ENISA.
