Fuites massives Fortinet : des mots de passe administrateur en clair exposent 75 000 pare-feu

Une nouvelle fuite de données affectant des pare-feu Fortinet suscite l'inquiétude dans le secteur de la cybersécurité. Des informations de configuration provenant d’environ 75 000 appareils, dont des mots de passe administrateur en clair, ont été repérées en ligne. Selon les premières analyses, la quasi-totalité de ces équipements est encore active sur Internet.

Données récentes et authentifiées

Des chercheurs en sécurité ont examiné le corpus et confirmé son authenticité. Les données incluent des éléments qui ne sont visibles que depuis l’appareil lui-même, ce qui indique qu'elles proviennent d’exportations de configurations. Les adresses IP répertoriées diffèrent largement de celles d’une fuite précédente, dite Belsen Group, qui portait sur 15 000 dispositifs et datait de 2022. Dans le cas présent, la plupart des pare-feu sont toujours en ligne et, pour plusieurs d’entre eux, les correctifs de sécurité sont récents. Des tests effectués sur des systèmes d’organisations connues ont montré que les identifiants étaient bien fonctionnels.

Une exposition massive des interfaces de gestion

Dans une majorité des cas, l’interface de gestion des pare-feu concernés est accessible directement depuis Internet. Cette configuration expose les réseaux internes à un risque d’intrusion, car un attaquant disposant des identifiants peut se connecter à distance au pare-feu, modifier les paramètres de sécurité, créer des comptes administrateur clandestins et accéder au réseau sous-jacent.

Étendue de la compromission

Selon les données de sondage de Shodan, un moteur de recherche spécialisé dans les objets connectés, cet ensemble représente environ la moitié de l’ensemble des pare-feu Fortinet exposés sur Internet. Le volume est donc sans précédent par rapport à l’incident Belsen Group. Les experts soulignent que les mots de passe en clair constituent une menace directe et immédiate.

Origine encore indéterminée

Le mode de collecte de ces informations n’est pas encore établi. Lors de l’incident précédent, une vulnérabilité zero-day exploitée en 2022 avait permis de dérober des configurations, qui n’avaient été rendues publiques que bien plus tard. Dans le cas actuel, les investigations se poursuivent pour déterminer si une faille similaire a été utilisée ou si d’autres méthodes ont été employées.

Réactions et mesures à prendre

Les organisations utilisant des pare-feu Fortinet sont invitées à vérifier d’urgence que l’interface de gestion n’est pas exposée sur Internet, à réinitialiser les mots de passe administrateur et à activer l’authentification multifacteur. La rotation régulière des identifiants et la surveillance des journaux d’accès sont également recommandées. Fortinet n’a pas encore communiqué officiellement sur cet incident.