En juin 2026, un chercheur en sécurité informatique du nom de Volodymyr « Bob » Diachenko a découvert un serveur accessible à tous sur Internet. À l’intérieur se trouvait une liste. Pas de fichiers volés, ni malware. Une liste de noms d’utilisateur et de mots de passe valides pour les pare-feu qui constituent la porte d’entrée de dizaines de milliers d’entreprises.
Au 19 juin, cette liste recensait environ 86 644 appareils Fortinet répartis dans 194 pays. Cela représente environ la moitié de l'ensemble des pare-feu Fortinet accessibles depuis Internet. Des rapports antérieurs estimaient ce nombre à 73 932, mais il n'a cessé d'augmenter à mesure que les chercheurs poursuivaient leur recensement. Cette campagne porte désormais un nom : FortiBleed.
Un pare-feu est le dispositif qui détermine qui peut accéder au réseau d'une entreprise et qui en est exclu. Bon nombre d'entre eux gèrent également un VPN, ce tunnel crypté que les employés utilisent pour se connecter depuis leur domicile. Il ne s'agit donc pas de machines sans importance. Ce sont les serrures de l'entrée principale. Et quelqu'un a dressé un catalogue des clés fonctionnelles permettant d'accéder à une grande partie d'entre elles.
Il n'y a pas de bug à corriger
La plupart des articles sur la sécurité que vous lisez se terminent par le même conseil : un éditeur a découvert une faille, il a publié un correctif, installez-le. Chacune de ces failles se voit attribuer un numéro, un CVE, afin que tout le monde puisse la suivre.
FortiBleed ne dispose d'aucun identifiant CVE. Le logiciel de Fortinet n'a pas été piraté. Personne n'a forcé l'accès. Les clés ont simplement été copiées.
Voici comment cela s'est passé, en termes simples. Un groupe connu sous le nom de SantaAd, qui faisait de la publicité sur un forum criminel russophone, a lancé plus d'un milliard de tentatives de connexion contre des appareils Fortinet connectés à Internet. Ses membres ont deviné des mots de passe à grande échelle, réutilisé des mots de passe divulgués lors de failles antérieures et déchiffré des fichiers de mots de passe cryptés à l'aide d'un rack de cartes graphiques spécialement conçu à cet effet. Ils ont ensuite franchi l'étape la plus importante : ils ont vérifié quelles clés fonctionnaient réellement et n'ont conservé que celles-ci.
Le résultat n'est donc pas un risque théorique. Il s'agit d'un ensemble vérifié d'identifiants qui permettent d'accéder à des portes réelles.
L'authentification a réussi
La plupart des systèmes de protection sont conçus pour détecter toute intrusion forcée : un mot de passe erroné, une tentative bloquée, un logiciel malware déclenche une alerte. FortiBleed ne provoque rien de tout cela.
Lorsqu’un pirate se connecte avec un vrai mot de passe, le système fait exactement ce pour quoi il a été conçu. Il lui donne accès. La connexion semble identique à la vôtre. Même type de nom d’utilisateur, même type de session, enregistrée de la même manière au même endroit. Le journal d’audit, qui consigne qui s’est connecté et quand, indique une connexion normale et réussie. Aucune alerte ne se déclenche, car, du point de vue de l’appareil, tout s’est déroulé normalement . Le journal d’audit lui a donné le feu vert.
C'est le point faible dont je parle le plus souvent. Il ne s'agit pas d'une « effraction ». Quelqu'un s'est connecté, et le système indique que c'est bien le cas. Un mot de passe correct est considéré comme une preuve d'identité, même lorsque la personne qui le saisit est un inconnu qui l'a acheté aux enchères.
Une clé, vendue à de nombreuses reprises
Il y a un deuxième rebondissement que la plupart des articles ont omis de mentionner, et c'est justement cet aspect qui devrait inquiéter le plus les responsables de la sécurité.
SantaAd ne s'est pas contenté de récupérer les clés. L'entreprise les a classées en fonction du chiffre d'affaires de chaque entreprise victime, puis les a mises aux enchères. Les entreprises générant le plus de chiffre d'affaires ont été proposées comme cibles « premium ».
Cela change la donne. Lorsque l'accès est vendu aux enchères, une même clé d'accès peut être achetée simultanément par plusieurs groupes criminels différents. Une entreprise peut ainsi se retrouver avec plusieurs intrus sans lien entre eux, disposant chacun d'un identifiant valide pour accéder au même pare-feu, tous en même temps, chacun se connectant sans laisser de traces et paraissant tout à fait légitime. La décision de cibler votre système n'a pas été prise par un pirate informatique qui aurait étudié vos défenses. Elle a été dictée par une grille tarifaire.
Pourquoi les solutions habituelles ne suffisent pas
Les mesures habituelles prises en cas de violation ne sont pas aussi efficaces qu'on pourrait l'espérer dans ce contexte.
Il n'est pas possible d'appliquer un correctif, car rien n'est défectueux. La réinitialisation des mots de passe peut s'avérer utile, mais uniquement si vous savez quelles identifiants ont été compromis, et à condition de les réinitialiser tous, partout où ils sont utilisés. Si vous en oubliez un seul, cet identifiant restera valide. La CISA a exhorté les clients de Fortinet à renouveler régulièrement leurs identifiants et à revoir leurs droits d'accès, ce qui est la bonne décision, mais cela revient à mener une course manuelle contre une liste dont vous ne pouvez pas avoir une vue d'ensemble.
Il y a toutefois un autre problème. Un pare-feu est un appareil hermétique. On ne peut pas y installer d'antivirus ni d'agent de surveillance comme on le ferait sur un ordinateur portable. Ainsi, l'appareil qui vient de laisser entrer un pirate est également un appareil qui n'est surveillé d'aucune manière depuis l'intérieur.
Où peut-on réellement l'attraper ?
Si la connexion en elle-même semble normale et que l'appareil ne parvient pas à se surveiller lui-même, ce n'est pas au moment de la connexion qu'il faut détecter le problème. C'est tout ce qui se passe après.
Une clé volée prouve que l’on peut ouvrir la porte. Elle ne révèle pas pour autant au voleur comment se comportent les personnes qui vivent là. Le compte authentique se connecte depuis des endroits familiers, à des heures habituelles, et effectue des actions courantes. Ce n’est pas le cas du compte emprunté. Celui-ci se connecte depuis un endroit inattendu, à une heure inhabituelle, et accède à des systèmes que l’utilisateur réel ne consulte jamais. C’est ce comportement que le mot de passe ne peut pas simuler.
C'est le cas lorsqu'on observe ce que fait un compte valide, et pas seulement s'il a réussi à se connecter. La connexion continuera d'indiquer « oui ». C'est ce que fait ensuite le compte qui trahit la supercherie.
Que faire cette semaine ?
Trois questions pratiques, formulées en langage simple :
Tout d'abord, vos connexions à Fortinet font-elles l'objet d'une surveillance visant à détecter tout comportement suspect après la connexion, ou se limite-t-on à vérifier que le mot de passe est correct ? La plupart des systèmes de surveillance sont configurés pour détecter les tentatives de connexion infructueuses. Or, FortiBleed génère des connexions réussies.
Deuxièmement, si une connexion aboutit depuis un endroit inhabituel, est-ce que quelqu’un s’en rendrait compte ? C’est ce signal qui importe ici, et non une hausse soudaine du nombre d’échecs.
Troisièmement, avez-vous renouvelé les identifiants de votre pare-feu et de votre VPN, et vérifié que ces mêmes mots de passe ne sont pas réutilisés ailleurs ? Une clé copiée n'est considérée comme retirée du service que lorsque toutes ses copies ont cessé de fonctionner.
FortiBleed n'est pas vraiment un problème propre à Fortinet. Cela nous rappelle qu'un identifiant de connexion valide est la seule faille qu'un correctif ne peut pas combler. La détection ne est pas défaillante. Elle est simplement incomplète, et la partie manquante concerne ce qui se passe une fois l'authentification réussie.
---
Il s'agit de la « lacune n° 2 » du cadre « Mind Your Attack Gaps » : l'authentification aboutit. Pour découvrir en détail comment les attaques par « identifiants valides » parviennent à contourner les mesures de prévention, consultez le chapitre consacré à la faille n° 2 dans l'ebook.