FortiBleed : les attaquants auraient transformé des pare-feu FortiGate en postes d'écoute réseau

L'affaire FortiBleed prend une dimension plus inquiétante. Quelques jours après la découverte de fuites massives d'identifiants VPN et administrateur Fortinet, des chercheurs en sécurité de SOCRadar révèlent que les attaquants auraient exploité une fonction native de FortiOS pour dérober encore plus d'informations d'authentification et, surtout, pour transformer les pare-feu FortiGate compromis en véritables postes d'écoute réseau.

Un outil sur mesure pour capter le trafic

Selon le rapport de SOCRadar, l'opération, active depuis février 2026, ne se résumerait pas à une simple extraction de bases de données d'identifiants. Les attaquants auraient développé un outil personnalisé leur permettant de détourner une capacité intégrée à FortiOS. Ce mécanisme, une fois activé sur un équipement infecté, leur offrirait la possibilité d'intercepter et d'exfiltrer le trafic réseau passant par le pare-feu, transformant de facto l'appareil en une plateforme d'espionnage.

Des conséquences qui dépassent le cadre de la fuite initiale

Jusqu'alors, la menace FortiBleed était principalement associée à l'exposition de près de 75 000 accès VPN et mots de passe administrateur en clair. Les nouvelles révélations indiquent que les intrus cherchent à pérenniser leur accès et à étendre leur capacité de collecte de données. En prenant le contrôle d'un FortiGate, ils peuvent non seulement se servir de la connectivité VPN, mais aussi surveiller l'ensemble des communications qui transitent par l'appareil.

Une opération structurée et discrète

SOCRadar décrit une campagne menée de manière méthodique, avec des attaquants qui auraient pris soin de masquer leurs traces. L'outil maison serait conçu pour fonctionner sans éveiller les soupçons, en utilisant des fonctions légitimes du système d'exploitation des pare-feu. Les cibles incluraient des entreprises de divers secteurs, avec une attention particulière portée aux infrastructures critiques.

Des milliers d'équipements toujours vulnérables

Les premières estimations faisaient état d'environ 1 000 équipements Fortinet liés à la France potentiellement exposés. Si les correctifs de sécurité ont été déployés par l'éditeur, de nombreux administrateurs n'ont pas encore mis à jour leurs systèmes. Cette nouvelle technique de détournement aggrave le risque pour les organisations encore vulnérables.

Recommandations pour les entreprises

Les experts appellent à une vérification immédiate des journaux d'activité des pare-feu FortiGate, à la recherche de connexions inhabituelles ou d'activation suspecte de fonctions d'écoute. Un changement de l'ensemble des mots de passe et une réinitialisation des équipements compromis sont également préconisés. La persistance de la menace souligne l'importance de maintenir les correctifs à jour et de surveiller activement les équipements réseau.