Introduction
Les grandes campagnes d'intrusion s'appuient rarement sur la sophistication technique. FortiBleed, la campagne révélée mi-juin 2026 par les chercheurs de SOCRadar et d'Hudson Rock, en est une démonstration brutale : plus de 30 000 firewalls et passerelles VPN Fortinet compromis dans 194 pays, sans qu'aucune faille inconnue n'ait été exploitée. La clé d'entrée était plus simple — et plus inquiétante. Des listes de mots de passe issus de fuites antérieures, et des équipements de périmètre dont personne n'avait jugé utile de changer les identifiants.
Des identifiants jamais renouvelés comme vecteur initial
Le groupe à l'origine de l'attaque, présumé russophone, a procédé méthodiquement. Armé de bases de données de mots de passe collectés lors de compromissions passées d'équipements Fortinet, il a déployé des outils automatisés capables de scanner Internet à la recherche de FortiGate exposés, puis de tenter des connexions sur chacun. L'opération a impliqué quelque 1,16 milliard de tentatives d'authentification contre plus de 320 000 cibles identifiées.
Ce mode opératoire — le credential stuffing — n'a rien d'inédit. Ce qui distingue FortiBleed, c'est l'exploitation d'une réalité organisationnelle bien connue : après une fuite de données, les équipes IT renouvellent les mots de passe des postes utilisateurs et des services exposés, mais négligent fréquemment les identifiants des équipements de périmètre réseau. Les firewalls, routeurs et concentrateurs VPN passent sous le radar. Les attaquants l'ont compris et en ont fait leur cible principale.
Un cycle qui s'alimente de lui-même
La mécanique de la campagne ne s'arrête pas à la compromission initiale. Une fois un appareil infiltré, le groupe l'a converti en poste d'écoute passif : l'équipement continue de filtrer le trafic légitime de l'entreprise, mais capte au passage tous les identifiants qui transitent — accès aux applications internes, authentifications VPN, sessions d'administration. Ces nouvelles données viennent enrichir les listes de mots de passe qui servent à compromettre d'autres cibles.
Le résultat est un cycle auto-renforçant : chaque firewall piraté augmente la capacité de collecte du groupe, qui dispose progressivement d'un réseau de capteurs discrets disséminés dans les infrastructures de ses victimes. Hudson Rock a estimé à plus de 73 000 le nombre d'URL Fortinet uniques concernées, un chiffre nettement supérieur aux 30 000 appareils confirmés avancés par SOCRadar.
Des victimes qui comptent parmi les plus grandes entreprises mondiales
Les organisations identifiées dans les données exfiltrées couvrent un spectre large : cabinets de conseil, géants de la tech, groupes industriels, banques, opérateurs télécom, établissements de santé. Les noms d'Accenture, Oracle, Samsung, Siemens, PwC, Comcast, Foxconn ou Lenovo ont été retrouvés dans les bases constituées par les attaquants. Les pays les plus touchés sont l'Inde, les États-Unis, Taïwan et le Mexique, mais la présence de la campagne dans 194 pays en fait un problème de portée mondiale.
Ce que les équipes doivent faire maintenant
FortiBleed pose une question directe aux responsables sécurité : la politique de renouvellement des mots de passe couvre-t-elle bien les équipements de périmètre ? Trop souvent, la réponse est non. Quelques actions prioritaires s'imposent :
- Auditer les identifiants des firewalls et passerelles VPN exposés sur Internet, en commençant par vérifier s'ils ont été modifiés depuis les dernières fuites connues ciblant les équipements Fortinet.
- Activer l'authentification multifacteur sur tous les accès d'administration des équipements réseau, une mesure encore absente de nombreuses configurations en production.
- Surveiller les indicateurs de compromission publiés par les équipes de recherche, notamment les tentatives d'authentification massives et les connexions depuis des plages IP inhabituelles.
- Segmenter les accès de gestion afin que les interfaces d'administration ne soient jamais directement joignables depuis Internet.
La sophistication technique n'a pas été le facteur décisif dans cette campagne. C'est l'hygiène des identifiants, négligée sur des équipements que l'on croit immuables parce qu'ils ne tombent jamais en panne, qui a rendu possible l'une des plus vastes compromissions de périmètre réseau de l'année.