Plus de 86 000 identifiants de pare-feux et de passerelles VPN Fortinet FortiGate ont ete exposes lors d'une campagne d'attaque a grande echelle que les chercheurs appellent FortiBleed. Decouverte en juin 2026, l'operation a produit une base de donnees verifiee contenant plus de 86 644 identifiants de connexion confirmes et fonctionnels, collectes depuis une infrastructure Fortinet accessible sur internet dans 194 pays. L'Agence americaine de cybersecurite et de securite des infrastructures (CISA) a emis une alerte d'urgence le 18 juin 2026. Pour les organisations qui utilisent FortiGate VPN pour l'acces a distance, la fenetre de reponse avant que les attaquants ne s'enfoncent plus profondement dans les reseaux d'entreprise est etroite.
Ce qu'est FortiBleed - et ce qu'il n'est pas
FortiBleed n'est pas une seule vulnerabilite nouvellement decouverte. C'est une campagne operationnelle qui a combine trois methodes d'attaque : la reutilisation d'identifiants provenant de violations de donnees precedentes, le craquage de hachages SHA-256 a l'aide d'un cluster de calcul de 45 GPU, et des attaques par force brute a grande echelle. Les chercheurs qui suivent l'operation estiment que les attaquants ont effectue environ 1,16 milliard de tentatives d'identification contre 320 777 cibles FortiGate accessibles sur internet avant d'assembler le jeu de donnees verifie.
Selon les chercheurs, l'operation a ete menee par un groupe de menaces multi-operateurs russophone. La presence d'outils de tunneling associes a des entites etatiques - notamment Chisel et Neo-reGeorg - dans l'activite d'exploitation associee suggere que le pool d'identifiants n'est pas utilise exclusivement par des criminels de bas niveau. Des acteurs de menaces sophistiques et bien dotes en ressources puisent egalement dans le meme jeu de donnees pour mener des intrusions ciblees contre des reseaux gouvernementaux et des infrastructures critiques.
Les donnees divulguees, qui comprennent des identifiants d'administrateur et des informations de configuration VPN, circuleraient dans des communautes criminelles clandestines. Etant donne que les dispositifs FortiGate servent de passerelle perimetre pour les reseaux d'entreprise, des identifiants compromis donnent aux attaquants un acces authentifie aux systemes internes - sans avoir besoin d'exploiter d'autres vulnerabilites une fois a l'interieur.
Ampleur : la moitie de tous les appareils FortiGate accessibles sur internet
Des chercheurs independants en securite comparant le jeu de donnees FortiBleed aux donnees Shodan estiment que les identifiants exposes couvrent environ 50 pour cent de tous les appareils pare-feux Fortinet actuellement accessibles depuis internet. Les 86 644 systemes affectes sont distribues dans 194 pays, incluant des reseaux d'agences gouvernementales, d'organisations de sante, d'institutions financieres et d'operateurs d'infrastructures critiques.
Des rapports anterieurs de BleepingComputer et Help Net Security avaient place le nombre initial a environ 73 000 appareils sur la base d'une analyse precoce du jeu de donnees. Une verification ulterieure par d'autres equipes de securite, dont l'avis technique de Bitdefender, a confirme le chiffre superieur de plus de 86 000. La divergence reflete un travail de deduplication en cours alors que les chercheurs recoupent plusieurs sources des donnees en circulation.
Pourquoi FortiGate VPN est une cible de haute valeur
Les appareils FortiGate font partie des appliances de securite perimetre les plus largement deployes dans les environnements d'entreprise a l'echelle mondiale. De nombreuses organisations les configurent comme passerelle SSL VPN principale pour l'acces des employes a distance, les rendant accessibles sur internet par conception. Cette accessibilite est operationnellement necessaire - mais elle signifie aussi que ces appareils font face a la pleine force des analyses automatisees et des tests d'identifiants a grande echelle.
La combinaison d'une grande surface d'attaque, de la prevalence des identifiants par defaut ou reutilises, et de la haute valeur de ce qui se trouve derriere un FortiGate compromis fait de l'infrastructure Fortinet une cible prioritaire constante pour les acteurs de menaces organises. FortiBleed n'est pas la premiere campagne massive de compromission d'identifiants ciblant les appareils Fortinet : une fuite similaire debut 2024 avait expose des identifiants d'environ 15 000 systemes FortiGate en utilisant la meme methodologie de reutilisation et de force brute.
Les directives d'urgence de la CISA
L'alerte de la CISA du 18 juin indique que l'agence est consciente des rapports mondiaux selon lesquels des acteurs cybermalveillants ont cible des appareils Fortinet accessibles sur internet en utilisant des identifiants compromis. L'alerte n'attribue pas la campagne a un acteur specifique lie a un Etat, mais les actions recommandees indiquent une urgence coherente avec une exploitation active.
Les recommandations specifiques de la CISA incluent : mettre fin immediatement a toutes les sessions VPN actives et forcer la re-authentification ; reinitialiser tous les identifiants des administrateurs et utilisateurs VPN ; verifier les journaux d'acces pour des signes d'acces non autorise, des horaires de session inhabituels ou des comptes admin nouvellement crees ; s'assurer que les mots de passe admin sont stockes en utilisant l'algorithme PBKDF2 ; activer l'authentification multi-facteurs (MFA) resistante au phishing pour tous les acces VPN ; et restreindre l'acces a l'interface de gestion aux reseaux internes ou de gestion dedies uniquement.
Pour les organisations qui ne peuvent pas completer toutes les etapes immediatement, la CISA priorise la terminaison des sessions et la reinitialisation des identifiants comme les actions initiales les plus critiques - precisement parce que des attaquants avec des identifiants valides peuvent maintenir une persistance meme si la methode sous-jacente de collecte d'identifiants est ensuite bloquee.
Ce que cela signifie pour la securite VPN en general
FortiBleed illustre le risque le plus fondamental de l'architecture VPN perimetre : un identifiant est le perimetre. Contrairement aux vulnerabilites de couche applicative qui necessitent le developpement d'exploits techniques, la compromission d'identifiants necessite uniquement de connaitre un nom d'utilisateur et un mot de passe valides. Aucun cycle de correctifs, aucune reponse zero-day, aucune regle de pare-feu ne peut arreter une tentative de connexion presentant des identifiants legitimes.
C'est l'argument moteur derriere la transition de l'industrie vers l'architecture Zero Trust, ou un acces authentifie a une passerelle VPN ne confere pas automatiquement l'acces aux ressources internes. Selon les principes Zero Trust, chaque demande d'acces a une application est verifiee independamment avec une authentification forte, que la demande provienne de l'interieur ou de l'exterieur du perimetre du reseau d'entreprise. FortiBleed est une etude de cas expliquant pourquoi ce changement d'architecture est important.
Pour les organisations pas encore engagees sur la voie Zero Trust, la reponse pratique immediate est la meme independamment de l'architecture : MFA sur tous les acces VPN, surveillance active des journaux et un cycle de reinitialisation des identifiants qui n'attend pas une violation confirmee avant d'agir.
• CISA Urges Hardening Fortinet Devices After Reports of Credential Exposure - CISA
• FortiBleed Leak Exposes Fortinet VPN Credentials for 73,000 Devices - BleepingComputer
• FortiBleed: 86,000 Fortinet Device Credentials Compromised - SecurityWeek
• Technical Advisory: FortiBleed Credential Exposure Campaign - Bitdefender
