Exposition des identifiants Fortinet FortiGate ## Qu'est-ce que c'est ? En 2024–2025, des chercheurs en sécurité ont découvert que des milliers de pare-feux Fortinet FortiGate avaient été compromis par des attaquants qui ont volé des fichiers de configuration et des identifiants. Les données volées — incluant des noms d'utilisateur, des mots de passe et des clés privées — ont ensuite été publiées en ligne, exposant les organisations à de graves risques. ## Comment cela s'est-il produit ? Les attaquants ont exploité des vulnérabilités connues dans les appareils FortiGate, notamment : - **CVE-2022-40684** — une faille de contournement d'authentification permettant à un attaquant distant de lire et de modifier la configuration de l'appareil sans mot de passe - **CVE-2024-21762** — une vulnérabilité d'exécution de code à distance dans FortiOS SSL-VPN Ces failles permettaient aux attaquants d'extraire des fichiers de configuration contenant des identifiants, même sur des appareils qui avaient depuis été mis à jour avec des correctifs. ```figure: +-------------------------------------------------+ | | | Appareil FortiGate Attaquant | | non corrigé | | | | | | | <-- Exploit CVE ------- | | | | | | | | -- Fichier de config --> | | | | (mots de passe, | | | | clés SSL) | | | | +-------------------------------------------------+ @title Flux d'attaque simplifié @caption L'attaquant exploite une CVE connue pour extraire le fichier de configuration contenant des identifiants en clair. @source Illustration EducationPals ``` ## Pourquoi est-ce grave ? - Les **identifiants en clair** dans les fichiers de configuration permettent à quiconque de se connecter à distance au pare-feu - Les **clés privées SSL** exposées permettent le déchiffrement du trafic VPN - Même après l'application d'un correctif, les identifiants volés restent valides jusqu'à ce qu'ils soient modifiés - Des milliers d'organisations dans le monde entier — y compris des infrastructures critiques — ont été touchées ## Qui était concerné ? Des appareils FortiGate appartenant à des organisations des secteurs suivants ont été exposés : - Administrations publiques - Établissements de santé - Opérateurs de télécommunications - Entreprises financières - Prestataires de services gérés (MSP) ## Ce que les organisations auraient dû faire 1. **Appliquer les correctifs immédiatement** dès la publication des avis de sécurité de Fortinet 2. **Faire pivoter tous les identifiants** — même si l'appareil a depuis été corrigé 3. **Révoquer et réémettre les certificats SSL** potentiellement compromis 4. **Rechercher des indicateurs de compromission (IoC)** dans les journaux 5. **Activer l'authentification multifacteur (MFA)** pour l'accès administratif ## Points clés à retenir - Les pare-feux sont des cibles de grande valeur — les compromettre donne accès à l'ensemble du réseau - Corriger une vulnérabilité ne suffit pas si des identifiants ont déjà été volés - Les données d'identification exposées peuvent circuler en ligne pendant des mois ou des années après une violation initiale - Une surveillance continue et une réponse rapide aux incidents sont essentiellesFortiBleed expose 74 000 identifiants FortiGate : ce que l'avis de renforcement de la CISA enseigne à chaque défenseurL'alerte de juin 2026 de la CISA sur le credential stuffing visant les appareils FortiGate exposés sur Internet est un exemple parfait qui illustre pourquoi l'hygiène des identifiants et l'exposition des interfaces de gestion sont les deux problèmes qui continuent de l'emporter.FortiBleedFortinet FortiGateAvis CISADurcissement des identifiantsSam·Jun 23, 2026·5 min readLire l'article