Une opération malveillante d’envergure mondiale a exposé les identifiants d’administration de près de 75 000 pare-feu Fortinet, offrant à des attaquants russophones un accès direct à des réseaux d’organisations parmi les plus sensibles de la planète. La fuite, surnommée FortiBleed, a été rendue publique à la suite de travaux menés par plusieurs experts en cybersécurité.
Une fuite massive de données d’authentification
Le chercheur Bob Diachenko, qui a localisé les serveurs de commande et de contrôle des attaquants, a révélé que les données compromises couvrent plus de 21 000 adresses IP réparties dans 194 pays. Environ 73 000 à 75 000 dispositifs Fortinet sont concernés, selon les estimations des différents analystes. Kevin Beaumont, un spécialiste indépendant, a confirmé après vérification que « presque tous » les appareils recensés étaient toujours en ligne et que les mots de passe, conservés en clair, étaient bien authentiques. Les échantillons prélevés montrent que nombre de ces pare-feu disposaient de correctifs récents, ce qui écarte l’hypothèse d’une exploitation de failles antérieures.
La société Hudson Rock, qui a participé à l’analyse, a décrit la fuite comme d’« une ampleur exceptionnelle, touchant quasiment tous les secteurs de l’économie mondiale ». Les informations dérobées incluent non seulement les identifiants, mais aussi la taille et le secteur d’activité des organisations victimes.
Des cibles de premier plan
Parmi les entités dont les réseaux ont été infiltrés figurent des géants comme Oracle, Chevron, Lenovo, Federal Express, un sous-traitant de l’OTAN, et même Fortinet lui-même. Dans de nombreux cas, les intrus ont réussi à s’introduire dans les systèmes d’authentification centralisés, notamment les serveurs Radius et les annuaires Active Directory de Microsoft, étendant leur emprise au sein des infrastructures informatiques.
Méthode d’attaque sophistiquée
Les attaquants ont d’abord procédé à un balayage massif d’Internet à la recherche d’interfaces d’administration de FortiGate exposées. Ils ont ensuite utilisé un programme personnalisé capable de lancer 25 000 tentatives de connexion simultanées, en testant des milliers de combinaisons de noms d’utilisateur et de mots de passe. Une fois l’accès obtenu, ils ont intercepté les hachages d’authentification SSL VPN et les ont crackés au moyen d’un cluster dédié de 45 cartes graphiques, orchestré via l’outil Hashtopolis. Cette capacité de calcul leur a permis de dériver les mots de passe en clair à partir des hachages.
Conséquences et recommandations
Les chercheurs soulignent que les informations volées confèrent aux attaquants un accès complet aux pare-feu compromis, leur permettant de modifier les règles de sécurité, de créer des comptes d’accès dérobés et de se déplacer latéralement dans les réseaux. Beaumont précise que, dans la majorité des cas, l’interface de gestion des FortiGate était exposée sur Internet, facilitant l’intrusion.
Hudson Rock a mis en ligne un moteur de recherche permettant aux organisations de vérifier si leurs domaines figurent parmi les cibles. Les experts exhortent les administrateurs à inspecter immédiatement leurs réseaux pour détecter toute activité suspecte et à révoquer l’ensemble des identifiants d’administration exposés.
