// CLUBIC — CYBERSECURITY
FortiBleed : les attaquants auraient détourné une fonction FortiOS pour voler encore plus d’identifiants
Déjà associée à des dizaines de milliers d’accès Fortinet exposés, la campagne FortiBleed prend une tournure plus sérieuse. Selon SOCRadar, les attaquants auraient aussi utilisé un outil maison pour transformer des pare-feu FortiGate compromis en postes d’écoute réseau.
FortiBleed ne se résumerait donc pas à une base d’identifiants retrouvée en ligne. Quelques jours après les premières révélations autour de cette fuite massive touchant des accès VPN et administrateur Fortinet, SOCRadar décrit une opération plus structurée, active depuis février 2026, et pensée pour entretenir la compromission dans la durée. D’après l’entreprise de renseignement sur les menaces, les attaquants ne se seraient pas contentés de tester des mots de passe déjà compromis ou obtenus par force brute. Une fois connectés à des pare-feu FortiGate accessibles depuis Internet, ils auraient détourné des fonctions légitimes de FortiOS pour intercepter d’autres secrets d’authentification.
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
En analysant la campagne FortiBleed, les équipes de SOCRadar indiquent avoir identifié l’usage d’un outil maison baptisé FortigateSniffer. Écrit en Go, il aurait été déployé après obtention d’un accès administrateur aux pare-feu FortiGate ciblés. Son rôle n’était pas d’exploiter une faille inédite, mais de détourner une commande légitime de FortiOS, diagnose sniffer packet, normalement utilisée par les administrateurs pour inspecter en temps réel le trafic qui transite par un pare-feu FortiGate afin de diagnostiquer des problèmes réseau.
D’après le rapport, les attaquants l’auraient utilisée pour surveiller les échanges susceptibles de contenir des informations d’authentification, directement depuis les équipements déjà compromis. Un emplacement stratégique, puisqu’un pare-feu FortiGate peut se trouver entre les accès distants, les services internes et les annuaires d’entreprise, et, par conséquent voir circuler des flux liés aux connexions des utilisateurs et utilisatrices, y compris les identifiants associés.
SOCRadar évoque ainsi une surveillance de nombreux protocoles et services, parmi lesquels Kerberos, LDAP, NTLM, RADIUS, SMB, RDP, WinRM, Microsoft SQL Server, MySQL, PostgreSQL, SMTP, IMAP, POP3, FTP ou Telnet. Les données capturées auraient ensuite été retraitées par les cybercriminels pour en extraire des éléments exploitables, comme des mots de passe en clair, des hashs, des tickets Kerberos, des éléments NTLM, des cookies de sessions, ou encore des identifiants liés aux bases de données et aux messageries.
L’accès initial aux pare-feu compromis n’aurait donc été qu’une première étape, destinée à collecter un maximum de secrets pour rebondir vers des services internes qui n’étaient pas exposés au départ, et ainsi propager l’intrusion.
Fortinet campe pour l’instant sur ses positions. Les données associées à FortiBleed proviendraient d’incidents antérieurs, de mots de passe réutilisés et d’attaques par force brute, sans lien avec une nouvelle vulnérabilité touchant ses produits.
Mais si des pare-feu FortiGate ont bien été compromis puis utilisés pour surveiller des échanges d’authentification, le risque ne se limite plus aux identifiants VPN et administrateur associés à ces équipements. Selon Kevin Beaumont, les attaquants auraient également exporté des configurations FortiGate depuis des appareils compromis afin d’en extraire les hashs de mots de passe pour tenter de les casser hors ligne.
Les organisations concernées doivent donc traiter comme compromis les comptes administrateur locaux, les comptes VPN, les secrets stockés et les accès réutilisés ailleurs. Il leur faudra donc d’abord vérifier si leurs domaines, adresses IP ou URL d’accès figurent dans la liste publiée par Beaumont, puis révoquer les identifiants exposés, activer l’authentification multifacteur sur les accès VPN et administrateur, et restreindre l’accès aux interfaces de