{"id":240,"date":"2026-06-19T00:01:00","date_gmt":"2026-06-19T00:01:00","guid":{"rendered":"https:\/\/shattered.io\/fr\/?p=240"},"modified":"2026-06-19T04:26:44","modified_gmt":"2026-06-19T04:26:44","slug":"fortibleed-fortinet-75000-pare-feux-pirates-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/19\/fortibleed-fortinet-75000-pare-feux-pirates-2026\/","title":{"rendered":"FortiBleed : 75 000 Pare-feux Fortinet Pirat\u00e9s, Groupe Russe dans 194 Pays [2026]"},"content":{"rendered":"\n

Le 17 juin 2026, les chercheurs d’Hudson Rock ont r\u00e9v\u00e9l\u00e9 l’une des campagnes de piratage les plus \u00e9tendues jamais document\u00e9es contre des \u00e9quipements r\u00e9seau. Baptis\u00e9e FortiBleed<\/strong>, cette op\u00e9ration a compromis 75 000 pare-feux et passerelles VPN Fortinet<\/strong> dans 194 pays, volant les identifiants d’entreprises Fortune 500 et d’agences gouvernementales. En parall\u00e8le, trois failles critiques dans FortiSandbox, dont deux \u00e0 CVSS 9.1, \u00e9taient activement exploit\u00e9es. La combinaison d’une campagne de credential harvesting \u00e0 grande \u00e9chelle et de vuln\u00e9rabilit\u00e9s critiques non patch\u00e9es place cet incident parmi les plus graves de 2026 pour la s\u00e9curit\u00e9 des r\u00e9seaux d’entreprise.<\/p>\n\n\n\n

FortiBleed en chiffres : une campagne d’une ampleur sans pr\u00e9c\u00e9dent<\/h2>\n\n\n\n

Les donn\u00e9es publi\u00e9es par Hudson Rock donnent le vertige. La campagne FortiBleed a cibl\u00e9 73 932 URL de pare-feux uniques<\/strong> r\u00e9partis dans 194 pays<\/strong>, compromettant 21 632 domaines distincts<\/strong>. Au total, environ 75 000 appareils Fortinet<\/strong>, principalement des pare-feux FortiGate et des passerelles SSL-VPN, ont \u00e9t\u00e9 infiltr\u00e9s selon les premi\u00e8res estimations.<\/p>\n\n\n\n

La firme de surveillance cybercriminelle a qualifi\u00e9 l’op\u00e9ration de \u00ab stup\u00e9fiante \u00bb dans son blog du 17 juin 2026, pr\u00e9cisant que \u00ab l’ampleur de cette violation touche presque tous les secteurs de l’\u00e9conomie mondiale, affectant toutes les industries \u00bb. Des preuves de vol de mots de passe ont \u00e9t\u00e9 relev\u00e9es dans plus de 15 pays<\/strong>, avec une concentration d’appareils compromis aux \u00c9tats-Unis, en Inde et \u00e0 Taiwan.<\/p>\n\n\n\n

Parmi les victimes identifi\u00e9es figurent des entreprises du Fortune 500 et des agences gouvernementales. Hudson Rock a d\u00e9taill\u00e9 le cas de cinq entit\u00e9s gouvernementales de Porto Rico, o\u00f9 environ 120 identifiants uniques<\/strong> ont \u00e9t\u00e9 exfiltr\u00e9s. Le chercheur Volodymyr “Bob” Diachenko, qui a alert\u00e9 le premier sur LinkedIn avant la publication officielle, a d\u00e9crit une approche \u00ab multicouche \u00bb de craquage de mots de passe d’une sophistication rare.<\/p>\n\n\n\n

M\u00e9canisme d’attaque : credential stuffing, brute-force et donn\u00e9es ant\u00e9rieures<\/h2>\n\n\n\n

FortiBleed ne repose pas sur une nouvelle faille zero-day dans les produits Fortinet. Les attaquants ont adopt\u00e9 une strat\u00e9gie hybride en trois phases. Premi\u00e8re phase : utilisation de bases de donn\u00e9es de credentials vol\u00e9s lors de pr\u00e9c\u00e9dents incidents<\/strong> pour tenter des connexions sur les portails SSL-VPN expos\u00e9s \u00e0 Internet. Deuxi\u00e8me phase : attaques par dictionnaire ciblant les mots de passe faibles ou g\u00e9n\u00e9riques. Troisi\u00e8me phase : brute-force automatis\u00e9 contre les interfaces d’administration accessibles depuis le web.<\/p>\n\n\n\n

Fortinet l’a confirm\u00e9 dans sa communication aux m\u00e9dias : \u00ab Les attaquants utilisent des donn\u00e9es provenant d’incidents ant\u00e9rieurs et appliquent des techniques de brute-force pour p\u00e9n\u00e9trer dans les r\u00e9seaux ou appareils cibl\u00e9s. Cette activit\u00e9 malveillante n’est pas li\u00e9e \u00e0 un incident ou \u00e0 un avis r\u00e9cent. \u00bb La soci\u00e9t\u00e9 a insist\u00e9 sur le fait qu’aucune nouvelle vuln\u00e9rabilit\u00e9 dans ses produits n’est \u00e0 l’origine de la campagne principale.<\/p>\n\n\n\n

Volodymyr Diachenko a d\u00e9crit une infrastructure d’attaque organis\u00e9e en couches, avec des scripts contenant des instructions en langue russe<\/strong>, preuve d’une op\u00e9ration pilot\u00e9e par un groupe russophone structur\u00e9. SOCRadar a identifi\u00e9 \u00ab un groupe russophone multi-op\u00e9rateurs conduisant une r\u00e9colte massive d’identifiants contre les appliances FortiGate SSL-VPN dans le monde entier \u00bb. La pr\u00e9cision du ciblage, selon les chercheurs, exclut des essais au hasard : les cibles ont \u00e9t\u00e9 s\u00e9lectionn\u00e9es d\u00e9lib\u00e9r\u00e9ment.<\/p>\n\n\n\n

Attribution : un groupe cybercriminel russophone multi-op\u00e9rateurs<\/h2>\n\n\n\n

Les \u00e9l\u00e9ments techniques accumul\u00e9s par les chercheurs pointent vers un groupe cybercriminel russophone \u00e0 motivation financi\u00e8re. SOCRadar d\u00e9crit une organisation \u00ab multi-op\u00e9rateurs \u00bb coordonnant plusieurs \u00e9quipes d’attaquants en simultan\u00e9, ce qui explique la capacit\u00e9 \u00e0 maintenir 73 932 URLs cibl\u00e9es dans 194 pays<\/strong> en m\u00eame temps.<\/p>\n\n\n\n

Volodymyr Diachenko a pr\u00e9cis\u00e9 que les scripts trouv\u00e9s dans les donn\u00e9es compromises incluaient des \u00ab instructions en langue russe \u00bb, confirmant l’origine g\u00e9ographique probable de l’op\u00e9ration. Contrairement \u00e0 des campagnes attribu\u00e9es officiellement \u00e0 des APT d’\u00c9tat comme APT28 ou Sandworm, FortiBleed semble relever du cybercrime organis\u00e9 \u00e0 but lucratif, bien que la fronti\u00e8re reste floue dans l’\u00e9cosyst\u00e8me cybercriminel russophone o\u00f9 int\u00e9r\u00eats criminels et \u00e9tatiques se chevauchent r\u00e9guli\u00e8rement.<\/p>\n\n\n\n

Les chercheurs d’Hudson Rock ont pr\u00e9cis\u00e9 que les identifiants vol\u00e9s pourraient permettre aux attaquants de \u00ab p\u00e9n\u00e9trer plus profond\u00e9ment dans ces organisations et de voler des donn\u00e9es \u00bb. L’objectif final reste probablement la revente de ces acc\u00e8s sur des forums cybercriminels<\/strong> ou leur exploitation directe pour des attaques ransomware \u00e0 double extorsion, un sch\u00e9ma bien document\u00e9 pour les groupes russophones actifs en 2026.<\/p>\n\n\n\n

CVE-2026-39813 et CVE-2026-39808 : les failles critiques FortiSandbox exploit\u00e9es<\/h2>\n\n\n\n

Parall\u00e8lement \u00e0 la campagne FortiBleed de credential harvesting, la firme Defused Cyber a signal\u00e9 mi-juin 2026 l’exploitation active de trois vuln\u00e9rabilit\u00e9s critiques dans FortiSandbox. Ces failles distinctes mais concomitantes amplifient consid\u00e9rablement la surface d’attaque pour les clients Fortinet.<\/p>\n\n\n\n

CVE<\/th>Score CVSS<\/th>Type de faille<\/th>Produit affect\u00e9<\/th>Patch disponible<\/th>Statut juin 2026<\/th><\/tr><\/thead>
CVE-2026-39813<\/td>9.1 (Critique)<\/td>Path traversal JRPC API<\/td>FortiSandbox<\/td>Avril 2026<\/td>Exploit\u00e9e activement<\/td><\/tr>
CVE-2026-39808<\/td>9.1 (Critique)<\/td>Injection de commandes OS<\/td>FortiSandbox<\/td>Avril 2026<\/td>Exploit\u00e9e activement<\/td><\/tr>
CVE-2026-25089<\/td>Non divulgu\u00e9<\/td>Non pr\u00e9cis\u00e9<\/td>FortiSandbox<\/td>Non pr\u00e9cis\u00e9<\/td>Exploit\u00e9e activement<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

CVE-2026-39813<\/strong> est une vuln\u00e9rabilit\u00e9 de travers\u00e9e de chemin dans l’API JRPC de FortiSandbox, permettant \u00e0 un attaquant non authentifi\u00e9 de contourner l’authentification via des requ\u00eates HTTP sp\u00e9cialement forg\u00e9es. CVE-2026-39808<\/strong> est une injection de commandes OS autorisant l’ex\u00e9cution de code arbitraire sans authentification pr\u00e9alable. Les deux failles, avec un CVSS de 9.1, avaient \u00e9t\u00e9 corrig\u00e9es par Fortinet en avril 2026<\/strong>.<\/p>\n\n\n\n

The Hacker News, citant Defused Cyber, a document\u00e9 ces exploitations \u00ab au cours des 24 derni\u00e8res heures \u00bb avant le 16 juin 2026. La fen\u00eatre de deux mois<\/strong> entre le patch et l’exploitation massive illustre un probl\u00e8me syst\u00e9mique : le retard dans l’application des correctifs de s\u00e9curit\u00e9 pour les \u00e9quipements r\u00e9seau en production. Les organisations qui n’ont pas appliqu\u00e9 les mises \u00e0 jour d’avril 2026 restent pleinement expos\u00e9es.<\/p>\n\n\n\n

Secteurs et pays touch\u00e9s : Fortune 500, gouvernements, 15 nations<\/h2>\n\n\n\n

La g\u00e9ographie de FortiBleed refl\u00e8te la distribution mondiale des d\u00e9ploiements Fortinet. Les \u00c9tats-Unis concentrent la majorit\u00e9 des appareils compromis, suivis par l’Inde et Taiwan. En Europe, des organisations britanniques font partie des victimes potentielles identifi\u00e9es, ce qui a conduit le National Cyber Security Centre (NCSC) du Royaume-Uni \u00e0 \u00e9mettre une alerte formelle d\u00e8s le 18 juin 2026.<\/p>\n\n\n\n

Les secteurs touch\u00e9s couvrent, selon Hudson Rock, \u00ab presque tous les secteurs de l’\u00e9conomie mondiale \u00bb. Les entreprises Fortune 500 sont explicitement mentionn\u00e9es, indiquant que des g\u00e9ants de la finance, de la technologie, de la sant\u00e9 et de l’\u00e9nergie figurent parmi les victimes. Les cinq entit\u00e9s gouvernementales de Porto Rico constituent le cas document\u00e9 le plus pr\u00e9cis avec 120 identifiants exfiltr\u00e9s.<\/p>\n\n\n\n

Un acc\u00e8s VPN compromis donne \u00e0 l’attaquant un point d’entr\u00e9e sur le r\u00e9seau interne de l’organisation, contournant l’ensemble des protections p\u00e9rim\u00e9triques. \u00c0 partir de l\u00e0, les possibilit\u00e9s de mouvement lat\u00e9ral<\/strong>, d’exfiltration de donn\u00e9es et de d\u00e9ploiement de ransomware sont consid\u00e9rables. Le risque n’est pas th\u00e9orique : les forums cybercriminels russophones vendent r\u00e9guli\u00e8rement des acc\u00e8s VPN \u00e0 des op\u00e9rateurs de ransomware \u00e0 des prix allant de quelques centaines \u00e0 plusieurs milliers de dollars selon la taille de l’organisation cible.<\/p>\n\n\n\n

La r\u00e9ponse de Fortinet : gestion de crise et recommandations<\/h2>\n\n\n\n

Fortinet a confirm\u00e9 \u00ab \u00eatre au courant d’une campagne visant \u00e0 voler les identifiants de connexion de ses produits pare-feux et VPN \u00bb. Dans sa d\u00e9claration \u00e0 The Hacker News, la soci\u00e9t\u00e9 a argu\u00e9 que \u00ab les organisations qui suivent les bonnes pratiques habituelles, notamment en faisant r\u00e9guli\u00e8rement pivoter les identifiants de s\u00e9curit\u00e9 et en activant l’authentification multifacteur, font face \u00e0 un risque minimal de la compromission des identifiants d\u00e9taill\u00e9e dans ces rapports \u00bb.<\/p>\n\n\n\n

Fortinet a \u00e9galement pr\u00e9cis\u00e9 qu’un blog de recommandations publi\u00e9 en mars 2026<\/strong> d\u00e9taillait les mesures pr\u00e9ventives. La soci\u00e9t\u00e9 a renvoy\u00e9 vers ce document pour les organisations souhaitant se prot\u00e9ger, sans annoncer de mesures proactives pour contacter directement les clients potentiellement affect\u00e9s.<\/p>\n\n\n\n

Pour les failles FortiSandbox (CVE-2026-39813 et CVE-2026-39808), Fortinet avait publi\u00e9 les patches en avril 2026<\/strong> et pressait ses clients de les appliquer imm\u00e9diatement. Ces correctifs existaient deux mois avant que les exploitations actives ne soient signal\u00e9es, ce qui soul\u00e8ve des questions sur les processus de mise \u00e0 jour dans les grandes organisations.<\/p>\n\n\n\n

Alerte officielle du NCSC britannique : r\u00e9initialisation d’usine recommand\u00e9e<\/h2>\n\n\n\n

Le National Cyber Security Centre du Royaume-Uni a publi\u00e9 une alerte formelle intitul\u00e9e \u00ab NCSC issues advice following global targeting of Fortinet firewalls and VPN gateways \u00bb. Ce document constitue l’avis gouvernemental le plus complet et le plus actionnable sur la gestion de l’incident FortiBleed.<\/p>\n\n\n\n

L’alerte du NCSC identifie une s\u00e9quence de r\u00e9ponse structur\u00e9e. Les organisations utilisant des \u00e9quipements Fortinet avec SSL-VPN activ\u00e9 doivent d’abord confirmer si leur appareil figure dans les donn\u00e9es compromises, puis analyser les journaux d’activit\u00e9 \u00e0 la recherche de comportements anormaux : connexions inhabituelles, cr\u00e9ations de comptes non autoris\u00e9s, activit\u00e9 \u00e0 des heures atypiques.<\/p>\n\n\n\n

Si une compromission est confirm\u00e9e, le NCSC recommande explicitement la r\u00e9initialisation compl\u00e8te en configuration d’usine<\/strong>, pr\u00e9cisant que \u00ab changer les identifiants seuls peut ne pas suffire si les acteurs de la menace ont \u00e9tabli une persistance sur l’appareil \u00bb. Cette recommandation forte indique que les attaquants pourraient avoir implant\u00e9 des backdoors ou des m\u00e9canismes de persistance au-del\u00e0 du simple vol de credentials. Apr\u00e8s la r\u00e9initialisation, le NCSC prescrit une liste de mesures de durcissement incluant l’activation du PBKDF2 pour les comptes administrateurs, l’isolement des interfaces de gestion et la mise \u00e0 jour vers la derni\u00e8re version du firmware.<\/p>\n\n\n\n

Contexte historique : Fortinet sous pression depuis 2019<\/h2>\n\n\n\n

FortiBleed n’est pas un \u00e9v\u00e9nement isol\u00e9. Les \u00e9quipements Fortinet, et particuli\u00e8rement les passerelles SSL-VPN, font l’objet d’un ciblage syst\u00e9matique depuis plusieurs ann\u00e9es. Fortinet a reconnu explicitement que les credentials utilis\u00e9s dans FortiBleed provenaient d’\u00ab incidents pr\u00e9c\u00e9dents \u00bb, cr\u00e9ant un cycle pr\u00e9occupant.<\/p>\n\n\n\n

Incident Fortinet<\/th>Ann\u00e9e<\/th>Produit cibl\u00e9<\/th>Impact document\u00e9<\/th>Nature de l’attaque<\/th><\/tr><\/thead>
Fuite SSL-VPN CVE-2018-13379<\/td>2019-2021<\/td>FortiGate SSL-VPN<\/td>500 000+ identifiants publi\u00e9s<\/td>Path traversal, patch non appliqu\u00e9<\/td><\/tr>
Alerte CISA campagne APT<\/td>2022<\/td>FortiOS \/ FortiProxy<\/td>Organismes gouvernementaux US<\/td>Exploitation CVE-2022-40684<\/td><\/tr>
Fuite donn\u00e9es FortiSIEM<\/td>2023<\/td>FortiSIEM<\/td>Donn\u00e9es clients expos\u00e9es<\/td>CVE-2023-34992, RCE<\/td><\/tr>
Exploitation FortiOS zero-day<\/td>2024<\/td>FortiOS SSL-VPN<\/td>Infrastructure critique vis\u00e9e<\/td>CVE-2024-21762, zero-day<\/td><\/tr>
FortiBleed<\/strong><\/td>2026<\/strong><\/td>FortiGate + FortiSandbox<\/strong><\/td>75 000 appareils, 194 pays<\/strong><\/td>Credential stuffing + CVE 9.1<\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La fuite de 2021, lors de laquelle plus de 500 000 identifiants FortiGate avaient \u00e9t\u00e9 publi\u00e9s sur un forum cybercriminel russophone, alimente encore aujourd’hui de nouvelles campagnes. Le cycle est syst\u00e9mique : des donn\u00e9es vol\u00e9es lors d’incidents ant\u00e9rieurs restent exploitables des ann\u00e9es plus tard si les organisations n’ont pas effectu\u00e9 une rotation compl\u00e8te de leurs credentials et invalid\u00e9 toutes les sessions actives. Ce comportement r\u00e9current des attaquants russophones exploitant des credentials anciens est document\u00e9 dans les rapports de Mandiant et de l’Agence de l’Union europ\u00e9enne pour la cybers\u00e9curit\u00e9 (ENISA).<\/p>\n\n\n\n

Pourquoi les VPN et pare-feux restent la cible favorite<\/h2>\n\n\n\n

Les \u00e9quipements r\u00e9seau de p\u00e9rim\u00e8tre repr\u00e9sentent une cible structurellement attractive pour les groupes cybercriminels sophistiqu\u00e9s. Contrairement aux syst\u00e8mes d’exploitation d’utilisateurs finaux, les appliances r\u00e9seau sont rarement monitor\u00e9es par des outils EDR classiques, difficiles \u00e0 mettre \u00e0 jour sans interruption de service, et constituent des points d’entr\u00e9e sur l’ensemble du r\u00e9seau interne.<\/p>\n\n\n\n

La NSA, le CISA et leurs homologues europ\u00e9ens ont publi\u00e9 de nombreux avis identifiant les VPN de marques comme Fortinet, Ivanti, Pulse Secure ou Palo Alto comme vecteurs d’intrusion prioritaires pour des acteurs avanc\u00e9s. La faille Ivanti Sentry CVE-2026-10523 (CVSS 10), exploit\u00e9e en 24 heures<\/a>, illustre la m\u00eame tendance dans ce secteur. De m\u00eame, la CVE-2026-0257 Palo Alto GlobalProtect<\/a> a vis\u00e9 8 entreprises sur 10 dans sa phase d’exploitation active.<\/p>\n\n\n\n

FortiBleed s’inscrit dans ce sch\u00e9ma. La sophistication de l’infrastructure d’attaque, avec son \u00ab architecture multicouche de craquage de mots de passe \u00bb d\u00e9crite par Diachenko, indique un investissement significatif en ressources. Cet investissement n’est rentable que si les organisations cibles ont des actifs de valeur accessibles via VPN, ce qui est pr\u00e9cis\u00e9ment le cas des entreprises Fortune 500 et des administrations publiques. L’ENISA<\/a> classe les attaques sur les \u00e9quipements r\u00e9seau de p\u00e9rim\u00e8tre parmi les vecteurs d’intrusion les plus critiques en Europe dans son rapport annuel sur les menaces.<\/p>\n\n\n\n

Guide de protection : 9 \u00e9tapes pour s\u00e9curiser votre infrastructure Fortinet<\/h2>\n\n\n\n

La r\u00e9ponse \u00e0 FortiBleed s’organise en deux phases. La premi\u00e8re couvre la d\u00e9tection et le confinement imm\u00e9diat. La seconde s’attaque au renforcement \u00e0 long terme de l’infrastructure.<\/p>\n\n\n\n

Phase 1 : d\u00e9tection et confinement imm\u00e9diat<\/h3>\n\n\n\n
  1. Inventorier tous les \u00e9quipements Fortinet<\/strong> expos\u00e9s \u00e0 Internet, en particulier ceux avec SSL-VPN ou interfaces d’administration accessibles publiquement.<\/li>
  2. Analyser les journaux d’activit\u00e9 des 30 derniers jours<\/strong> : connexions \u00e0 des horaires inhabituels, origines g\u00e9ographiques inattendues, cr\u00e9ations de comptes non autoris\u00e9s.<\/li>
  3. V\u00e9rifier tous les comptes administrateurs<\/strong> : tout compte inconnu doit \u00eatre supprim\u00e9 imm\u00e9diatement et l’incident signal\u00e9.<\/li>
  4. Isoler les \u00e9quipements suspects<\/strong> d’Internet et du r\u00e9seau interne si une compromission est confirm\u00e9e ou suspect\u00e9e.<\/li>
  5. Proc\u00e9der \u00e0 une r\u00e9initialisation d’usine compl\u00e8te<\/strong> si une compromission est av\u00e9r\u00e9e. Le NCSC indique que le changement de mot de passe seul est insuffisant si l’attaquant a \u00e9tabli une persistance.<\/li><\/ol>\n\n\n\n

    Phase 2 : renforcement de l’infrastructure<\/h3>\n\n\n\n
    1. Appliquer les patches CVE-2026-39813 et CVE-2026-39808<\/strong> disponibles depuis avril 2026 si ce n’est pas encore fait, ainsi que toute mise \u00e0 jour FortiSandbox disponible.<\/li>
    2. Activer l’authentification multifacteur (MFA)<\/strong> sur toutes les connexions VPN et interfaces d’administration, sans exception.<\/li>
    3. Mettre \u00e0 jour le firmware<\/strong> vers la derni\u00e8re version et retirer imm\u00e9diatement tout \u00e9quipement en fin de vie.<\/li>
    4. D\u00e9sactiver l’exposition des interfaces d’administration<\/strong> sur Internet. Les acc\u00e8s admin doivent transiter par un r\u00e9seau de gestion d\u00e9di\u00e9, isol\u00e9 du flux de production.<\/li><\/ol>\n\n\n\n

      Impact r\u00e9glementaire et march\u00e9 : NIS2, RGPD et pression financi\u00e8re<\/h2>\n\n\n\n

      Pour les organisations europ\u00e9ennes, FortiBleed cr\u00e9e une double pression. Sur le plan r\u00e9glementaire, une violation de donn\u00e9es r\u00e9sultant de cet incident d\u00e9clenche l’obligation de notification \u00e0 l’autorit\u00e9 de protection des donn\u00e9es comp\u00e9tente dans un d\u00e9lai de 72 heures<\/strong> (article 33 du RGPD). Les op\u00e9rateurs de services essentiels couverts par NIS2 ont des obligations additionnelles avec des d\u00e9lais encore plus stricts et des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial<\/strong>.<\/p>\n\n\n\n

      Le contexte r\u00e9glementaire est particuli\u00e8rement tendu. En juin 2026, la Commission europ\u00e9enne a renvoy\u00e9 la France et l’Espagne devant la Cour de justice de l’UE pour d\u00e9faut de transposition de la directive NIS2 dans les d\u00e9lais impartis. Les organisations fran\u00e7aises op\u00e9rant des infrastructures critiques font face \u00e0 une double pression : un incident de s\u00e9curit\u00e9 actif impliquant potentiellement leurs \u00e9quipements Fortinet et un cadre r\u00e9glementaire en cours de renforcement acc\u00e9l\u00e9r\u00e9.<\/p>\n\n\n\n

      Sur le plan march\u00e9, Fortinet (Nasdaq : FTNT) est directement expos\u00e9 \u00e0 une d\u00e9gradation de la confiance de ses clients. Des incidents comparables chez des fournisseurs de s\u00e9curit\u00e9 ont historiquement provoqu\u00e9 des baisses de 5 \u00e0 12 % du cours de bourse dans les 48 heures suivant la divulgation. La r\u00e9putation de Fortinet comme fournisseur d’\u00e9quipements de s\u00e9curit\u00e9 est questionn\u00e9e par la r\u00e9currence des incidents impliquant ses produits depuis 2019.<\/p>\n\n\n\n

      Ce que FortiBleed r\u00e9v\u00e8le sur la cybers\u00e9curit\u00e9 en 2026<\/h2>\n\n\n\n

      FortiBleed met en lumi\u00e8re trois tendances structurelles. La premi\u00e8re est la persistance des credentials vol\u00e9s<\/strong> : des donn\u00e9es exfiltr\u00e9es lors d’incidents ant\u00e9rieurs alimentent des campagnes actives des ann\u00e9es plus tard. La rotation r\u00e9guli\u00e8re des mots de passe et l’invalidation forc\u00e9e des sessions restent des pratiques insuffisamment adopt\u00e9es, m\u00eame dans des organisations de grande taille.<\/p>\n\n\n\n

      La deuxi\u00e8me tendance est le retard syst\u00e9matique dans l’application des patches<\/strong>. Les CVE-2026-39813 et CVE-2026-39808 avaient \u00e9t\u00e9 corrig\u00e9es en avril 2026. Deux mois plus tard, elles \u00e9taient encore exploit\u00e9es \u00e0 grande \u00e9chelle. Pour des \u00e9quipements r\u00e9seau critiques expos\u00e9s \u00e0 Internet, ce d\u00e9lai est inacceptable dans le contexte de menaces actuelles.<\/p>\n\n\n\n

      La troisi\u00e8me tendance est la professionnalisation du cybercrime russophone<\/strong>. Une infrastructure capable de cibler 73 932 URLs dans 194 pays simultan\u00e9ment repr\u00e9sente un investissement consid\u00e9rable en temps, comp\u00e9tences et ressources. Ce niveau d’organisation d\u00e9passe le cybercrime opportuniste pour entrer dans la cat\u00e9gorie des op\u00e9rations structur\u00e9es, ce qui explique la capacit\u00e9 du groupe \u00e0 maintenir une campagne d’une telle ampleur g\u00e9ographique.<\/p>\n\n\n\n

      5 pr\u00e9dictions pour les prochains mois<\/h2>\n\n\n\n

      1. Des victimes suppl\u00e9mentaires identifi\u00e9es dans les prochaines semaines.<\/strong> Avec 75 000 appareils compromis et 21 632 domaines affect\u00e9s, les enqu\u00eates men\u00e9es par les CERT nationaux et les \u00e9quipes de r\u00e9ponse \u00e0 incidents r\u00e9v\u00e9leront des organisations suppl\u00e9mentaires. Des entit\u00e9s gouvernementales europ\u00e9ennes et des op\u00e9rateurs d’infrastructures critiques figureront probablement parmi les nouvelles victimes identifi\u00e9es.<\/p>\n\n\n\n

      2. Des attaques ransomware exploitant ces acc\u00e8s VPN avant la fin du troisi\u00e8me trimestre 2026.<\/strong> Les credentials VPN vol\u00e9s ont une valeur marchande directe sur les forums cybercriminels, mais leur exploitation maximale passe par le d\u00e9ploiement de ransomware. Le d\u00e9lai habituel entre compromission initiale et d\u00e9ploiement de ransomware est de 3 \u00e0 6 semaines pour les groupes sophistiqu\u00e9s, pla\u00e7ant le risque entre mi-juillet et fin ao\u00fbt 2026.<\/p>\n\n\n\n

      3. L’ANSSI et d’autres agences europ\u00e9ennes \u00e9mettront des alertes formelles dans les jours \u00e0 venir.<\/strong> Le NCSC britannique a d\u00e9j\u00e0 agi. L’ANSSI fran\u00e7aise, le BSI allemand et d’autres autorit\u00e9s nationales devraient suivre rapidement avec des recommandations adapt\u00e9es \u00e0 leurs contextes r\u00e9glementaires respectifs, notamment dans le cadre des obligations NIS2.<\/p>\n\n\n\n

      4. La pression r\u00e9glementaire sur les fournisseurs de VPN va s’accentuer.<\/strong> FortiBleed va alimenter les d\u00e9bats sur la responsabilit\u00e9 des fabricants d’\u00e9quipements de s\u00e9curit\u00e9. Dans le cadre du Cyber Resilience Act europ\u00e9en, les obligations de s\u00e9curit\u00e9 vont se renforcer, incluant des exigences de mises \u00e0 jour automatiques et des d\u00e9lais de patch contraignants pour les \u00e9quipements connect\u00e9s.<\/p>\n\n\n\n

      5. Fortinet annoncera un programme de notification proactive des clients affect\u00e9s.<\/strong> Sous la pression m\u00e9diatique et r\u00e9glementaire, le fournisseur devra mettre en place un syst\u00e8me d’alerte directe aux organisations dont les \u00e9quipements figurent dans la base de donn\u00e9es compromise, s’alignant sur les pratiques de responsabilit\u00e9 des fournisseurs attendues sous NIS2 et le Cyber Resilience Act.<\/p>\n\n\n\n

      FAQ : FortiBleed et la s\u00e9curit\u00e9 des \u00e9quipements Fortinet<\/h2>\n\n\n\n

      Qu’est-ce que la campagne FortiBleed ?<\/h3>\n\n\n\n

      FortiBleed est le nom donn\u00e9 par Hudson Rock \u00e0 une campagne massive de vol d’identifiants ciblant les pare-feux FortiGate et passerelles SSL-VPN de Fortinet. Identifi\u00e9e le 17 juin 2026, elle a compromis environ 75 000 appareils dans 194 pays via du credential stuffing, des attaques par dictionnaire et du brute-force automatis\u00e9.<\/p>\n\n\n\n

      Un nouveau zero-day Fortinet est-il \u00e0 l’origine de FortiBleed ?<\/h3>\n\n\n\n

      Non pour la campagne principale. Fortinet a confirm\u00e9 que FortiBleed n’exploite pas de nouvelle vuln\u00e9rabilit\u00e9 : les attaquants utilisent des credentials issus d’incidents ant\u00e9rieurs combin\u00e9s \u00e0 des techniques de brute-force. En parall\u00e8le, trois failles FortiSandbox (CVE-2026-39813 et CVE-2026-39808, CVSS 9.1) sont exploit\u00e9es activement, mais elles concernent un produit diff\u00e9rent et disposaient de patches depuis avril 2026.<\/p>\n\n\n\n

      Mon organisation est-elle concern\u00e9e si elle utilise Fortinet ?<\/h3>\n\n\n\n

      Toute organisation utilisant des \u00e9quipements Fortinet avec des interfaces SSL-VPN ou d’administration expos\u00e9es \u00e0 Internet doit consid\u00e9rer qu’elle est potentiellement concern\u00e9e. La v\u00e9rification des journaux d’activit\u00e9 et la rotation imm\u00e9diate des credentials sont prioritaires. Si votre FortiSandbox n’est pas patch\u00e9 depuis avril 2026, l’application des mises \u00e0 jour est urgente.<\/p>\n\n\n\n

      Suffit-il de changer son mot de passe pour se prot\u00e9ger ?<\/h3>\n\n\n\n

      Non, si une compromission est av\u00e9r\u00e9e. Le NCSC britannique recommande explicitement une r\u00e9initialisation compl\u00e8te en configuration d’usine, car les attaquants peuvent avoir \u00e9tabli des m\u00e9canismes de persistance au-del\u00e0 des credentials. Le changement de mot de passe seul ne suffit pas \u00e0 \u00e9liminer un attaquant ayant \u00e9tabli un acc\u00e8s persistant sur l’appareil.<\/p>\n\n\n\n

      Qui est derri\u00e8re FortiBleed ?<\/h3>\n\n\n\n

      Les analyses de SOCRadar et du chercheur Volodymyr Diachenko attribuent FortiBleed \u00e0 un groupe cybercriminel russophone multi-op\u00e9rateurs. La pr\u00e9sence d’instructions en russe dans les scripts d’attaque et l’infrastructure utilis\u00e9e pointent vers des acteurs russophones \u00e0 motivation financi\u00e8re. Aucune attribution officielle \u00e0 un APT sp\u00e9cifique n’a \u00e9t\u00e9 faite \u00e0 ce stade.<\/p>\n\n\n\n

      FortiBleed va-t-il d\u00e9boucher sur des attaques ransomware ?<\/h3>\n\n\n\n

      C’est le risque principal. Les acc\u00e8s VPN compromis constituent une ressource pr\u00e9cieuse pour le d\u00e9ploiement de ransomware \u00e0 double extorsion. Le d\u00e9lai habituel entre compromission initiale et d\u00e9ploiement de ransomware est de 3 \u00e0 6 semaines pour les groupes sophistiqu\u00e9s. Les organisations dont les \u00e9quipements Fortinet sont expos\u00e9s doivent traiter cet incident comme une urgence absolue.<\/p>\n\n\n\n

      Quelles obligations r\u00e9glementaires d\u00e9coulent de FortiBleed pour les entreprises europ\u00e9ennes ?<\/h3>\n\n\n\n

      Si une organisation europ\u00e9enne a subi une violation de donn\u00e9es r\u00e9sultant de cet incident, la notification \u00e0 l’autorit\u00e9 de protection des donn\u00e9es comp\u00e9tente est obligatoire sous 72 heures (RGPD). Les op\u00e9rateurs de services essentiels couverts par NIS2 ont des obligations de notification d’incident suppl\u00e9mentaires avec des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial en cas de manquement.<\/p>\n\n\n\n

      Couverture associ\u00e9e<\/h2>\n\n\n\n

      Pour approfondir les sujets li\u00e9s \u00e0 FortiBleed et aux cyberattaques sur les \u00e9quipements r\u00e9seau :<\/p>\n\n\n\n