Environ 75 000 pare-feu FortiGate de Fortinet ont vu leurs identifiants VPN volés et exploités par des attaquants, touchant 194 pays et de grandes entreprises comme Samsung, Siemens ou Oracle.

Le premier signal d’alarme vient de Volodymyr « Bob » Diachenko, via une publication sur LinkedIn du 16 juin 2026.

D’emblée, la gravité de l’affaire apparaît : le chercheur en sécurité affirme qu’au moins quatre organisations ont été entièrement compromises, au Japon, à Taïwan, au Vietnam, en Irak et en Turquie, « dont un contractant de défense de l’OTAN en Turquie, avec exfiltration de documents classifiés ».

Côté volumes, il évoque 1,16 milliard de tentatives d’authentification visant 320 777 équipements FortiGate, ainsi que 2,1 milliards d’autres ciblant 163 650 serveurs MSSQL.

Ce qui rend cette attaque particulièrement préoccupante, c’est sa cible : les pare-feu FortiGate de Fortinet, des équipements qui filtrent l’accès aux réseaux d’entreprise et servent très souvent de point d’entrée VPN pour les salariés en télétravail. Une caractéristique qui donne son nom à la campagne : FortiBleed.

Tableau de bord de l'attaque FortiBleed // Source : HudsonRock
Tableau de bord de l’attaque FortiBleed. // Source : HudsonRock

Comment l’attaque se déroule concrètement

Selon Volodymyr « Bob » Diachenko, le mode opératoire, attribué à un groupe cybercriminel russophone par plusieurs opérateurs, se déroule en trois temps.

D’abord, les attaquants interceptent l’authentification du VPN SSL, c’est-à-dire le moment où un salarié se connecte à distance au réseau de son entreprise via une connexion chiffrée. À cette occasion, ils récupèrent non pas le mot de passe lui-même, mais son empreinte, une version brouillée et normalement illisible.

Ensuite vient le cassage de cette empreinte : les pirates s’appuient sur une grappe de 45 cartes graphiques, des composants habituellement utilisés pour le calcul intensif ou le jeu vidéo, ici détournés pour tester des milliards de combinaisons par seconde. L’opération est pilotée par Hashtopolis, un outil qui permet de répartir ce travail de cassage entre plusieurs machines à la fois. Résultat : même des mots de passe complexes finissent par tomber, transformés en texte lisible.

Une fois ces identifiants en clair récupérés, les attaquants s’en servent pour entrer directement sur le pare-feu, puis basculent vers l’Active Directory, l’annuaire central qui gère l’ensemble des comptes et des accès Windows d’une entreprise. C’est la porte d’entrée vers tout le reste. Une fois dans l’Active Directory, ils peuvent se déplacer d’une machine à l’autre à l’intérieur du réseau, sans être détectés, jusqu’à atteindre les données les plus sensibles.

Ce qu’il faut faire sans attendre

Fortinet, de son côté, a réagi auprès du média britannique The Register après la divulgation de l’affaire. L’entreprise évoque un recyclage de données issues d’incidents passés, ainsi que des attaques par force brute classiques, sans lien avec une faille inédite affectant ses produits.

Plusieurs chercheurs en cybersécurité indiquent de leur côté avoir vérifié une partie des identifiants. Ils en confirment la validité et soulignent que nombre des équipements concernés fonctionnaient avec des firmwares récents.

Recyclées ou non, ces données constituent une porte d’entrée bien réelle tant qu’elles ne sont pas modifiées. Le site HudsonRock recense d’ailleurs les entreprises potentiellement exposées.

Si votre domaine y apparaît, les recommandations sont claires : changer immédiatement tous les mots de passe associés aux interfaces VPN et d’administration des pare-feu Fortinet, puis activer l’authentification à deux facteurs partout où cela est possible.

Il est également conseillé de retirer toute interface de management exposée directement à Internet et d’examiner les journaux de connexion, à la recherche d’activités suspectes ou de comptes inconnus, signes possibles d’une compromission en cours.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Anticipez le futur en vous inscrivant gratuitement à ToujoursPlus, la newsletter tech de référence.