Fuites massives Fortinet : 75 000 pare-feu touchés et des géants de la tech dans le collimateur

Une vaste opération baptisée « FortiBleed » a ciblé les dispositifs FortiGate du constructeur Fortinet, entraînant la compromission d’environ 75 000 pare-feu répartis dans 194 pays. Selon les chercheurs en sécurité qui ont mis au jour cette campagne, près de la moitié du parc mondial de FortiGate exposé sur Internet serait concernée.

L’attaque s’est appuyée sur l’interception de l’authentification des connexions SSL VPN des pare-feu. Les mots de passe, protégés par des empreintes chiffrées, ont été crackés à l’aide d’un parc de 45 cartes graphiques via l’outil Hashtopolis. Une fois les accès obtenus, les attaquants ont pu pénétrer dans les réseaux internes en s’appuyant sur l’Active Directory, et procéder à des déplacements latéraux. Au moins quatre organisations auraient été intégralement compromises.

Des victimes prestigieuses

Parmi les entités dont les identifiants se sont retrouvés dans la nature figurent des poids lourds de l’industrie technologique et des services : Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture et Oracle. La diversité de ces cibles souligne l’ampleur du balayage effectué par les assaillants, qui ont aussi touché plus de 21 000 domaines différents.

Réactions mitigées de Fortinet

De son côté, Fortinet a minimisé l’événement en expliquant qu’il s’agissait d’un recyclage de données anciennes combiné à une attaque par force brute. L’éditeur de solutions de sécurité n’a pas reconnu de nouvelle vulnérabilité dans ses produits. Toutefois, les boîtiers concernés restent pour la plupart en ligne et accessibles tant que les administrateurs n’ont pas modifié les mots de passe compromis. La menace perdure donc, même en l’absence de faille technique récente.

Implications pour les entreprises

Les experts recommandent aux organisations utilisant des FortiGate de vérifier immédiatement leurs journaux de connexion, de révoquer les identifiants VPN potentiellement exposés et de renforcer l’authentification multi-facteurs. L’affaire illustre la fragilité des infrastructures de sécurité reposant sur des VPN d’accès distant, et rappelle que le simple maintien d’un logiciel à jour ne suffit pas à garantir l’intégrité des réseaux face à des attaques ciblant les couches d’authentification.