L’alerte a été lancée le 21 janvier 2026 par les équipes de la société de cybersécurité Arctic Wolf : des hackers exploitent activement une vulnérabilité pour pénétrer les pare-feu Fortinet FortiGate.
Leur but ? Compromettre ces équipements, qui servent à filtrer et sécuriser le trafic réseau d’une entreprise, en créant des comptes d’administration frauduleux et en exfiltrant la configuration complète des pare-feu.
Au cœur de leur stratégie d’infiltration, on retrouve une fonctionnalité de « connexion unique » (SSO) proposée via le service FortiCloud. Conçue pour simplifier la tâche des administrateurs, elle semble aujourd’hui être devenue un point d’entrée privilégié pour les attaquants.
On pensait pourtant le problème résolu. Fin 2025, deux correctifs de sécurité avaient été déployés pour protéger précisément cette fonctionnalité.
Bis repetita pour la vulnérabilité Fortinet
Concrètement, en ciblant cette brique d’authentification, les pirates parviennent à contourner les contrôles de sécurité habituels et à se faire passer pour des administrateurs légitimes, sans avoir à fournir de mot de passe valide.
Une fois à l’intérieur, ils créent des comptes disposant d’un accès VPN et récupèrent la configuration complète du pare-feu, leur offrant ainsi une vue détaillée de l’architecture réseau de la victime.
Selon le rapport de recherche publié par les équipes d’Arctic Wolf, cette nouvelle campagne aurait débuté le 15 janvier et reprend à de nombreux égards les caractéristiques techniques des attaques observées en fin d’année dernière.
Répertoriée sous la référence CVE‑2025‑59718, la vulnérabilité avait pourtant fait l’objet d’une mise à jour de la part du fabricant (FortiOS 7.4.10).
C’est visiblement insuffisant : les chercheurs affirment qu’une « nouvelle vague d’activités malveillantes automatisées » exploite de nouveau cette faille.
Des milliers d’appareils encore vulnérables
En attendant la publication des nouvelles versions censées corriger définitivement la faille d’authentification, les chercheurs recommandent une mesure de précaution simple : désactiver temporairement la connexion via FortiCloud SSO de tous les appareils Fortinet.
D’après le site Shadowserver, qui surveille la sécurité d’Internet, environ 11 000 équipements Fortinet accessibles en ligne ont toujours la fonction FortiCloud SSO activée.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !