Une campagne de cyberattaques ciblant des pare-feu Fortinet, baptisée FortiBleed par la communauté de la sécurité, prend une ampleur préoccupante. Des chercheurs ont identifié un groupe d'attaquants qui exploite massivement les informations d'identification dérobées lors de précédentes fuites de données pour prendre le contrôle de ces équipements réseau. Selon leurs observations, environ un millier d'appareils compromis seraient associés à des adresses IP situées en France.

Cette nouvelle vague d'attaques s'inscrit dans le sillage d'une fuite massive de données intervenue ces derniers jours, qui a exposé des identifiants de connexion, dont des mots de passe en clair, pour environ 75 000 pare-feu Fortinet à travers le monde. Les informations dérobées, qui incluent notamment des noms d'utilisateur et des mots de passe d'administration, ont été mises en ligne sur des forums clandestins, offrant aux cybercriminels une porte d'entrée directe vers des réseaux d'entreprises et d'administrations.

Des cibles variées et une méthode bien rodée

Les experts qui ont suivi les activités de ce groupe d'attaquants décrivent un mode opératoire méthodique. Après avoir acquis les listes d'identifiants, les pirates les utilisent pour tenter de se connecter à distance aux interfaces d'administration des pare-feu Fortinet qui seraient toujours vulnérables ou mal configurés. Une fois l'accès obtenu, ils peuvent modifier les règles de sécurité, dérober des données transitant par le réseau, installer des logiciels malveillants persistants, ou encore utiliser les appareils comme des points de relais pour lancer d'autres attaques.

Le nombre d'équipements reliés à la France — environ un millier — place le pays parmi les zones géographiques significativement touchées par cette exploitation post-fuite. Les chercheurs n'ont pas précisé la nature exacte des entités affectées (entreprises privées, institutions publiques, opérateurs d'importance vitale), mais la présence de pare-feu Fortinet dans de nombreuses infrastructures critiques rend la situation particulièrement suivie par les autorités.

Réactions et mesures de sécurisation

Face à cette menace, l'éditeur Fortinet a réitéré ses recommandations de sécurité. L'entreprise exhorte ses clients à appliquer sans délai les mises à jour de firmware disponibles, à modifier immédiatement tous les mots de passe d'administration, à désactiver les accès d'administration depuis l'interface WAN (internet) lorsqu'ils ne sont pas strictement nécessaires, et à mettre en œuvre une authentification multi-facteurs. Un porte-parole de Fortinet a indiqué qu'une équipe dédiée surveille la situation et accompagne les clients qui signalent des compromissions.

Les autorités françaises de cybersécurité, régulièrement alertées sur ce type d'incidents, n'ont pas encore diffusé de bulletin d'alerte officiel spécifique à cette campagne précisément, mais les équipes d'intervention d'urgence (CERT) sont généralement mobilisées pour assister les entités victimes. Les experts recommandent aux administrateurs système d'examiner les journaux de connexion de leurs pare-feu Fortinet à la recherche de tentatives d'accès suspectes, et de vérifier l'intégrité des configurations.

Une menace qui s'installe dans la durée

Cette affaire illustre les conséquences en cascade des fuites de données massives. Un seul incident de sécurité peut, des semaines ou des mois plus tard, servir de carburant à des opérations malveillantes à grande échelle. La persistance de mots de passe en clair dans des bases de données exfiltrées constitue un risque majeur, car elle permet une exploitation quasi immédiate sans nécessité de craquage.

Pour les organisations utilisant des équipements Fortinet, le signal d'alarme est clair : la vérification de l'état de sécurité de chaque pare-feu doit être une priorité immédiate. Au-delà des correctifs, c'est toute la politique de gestion des accès privilégiés et de sécurisation des interfaces d'administration qui doit être revue. Alors que le groupe d'attaquants continue vraisemblablement ses opérations, le nombre d'équipements compromis pourrait encore augmenter dans les prochains jours.