FortiBleed : 73 000 identifiants VPN Fortinet exposes, que faire

Si vous exploitez un pare-feu FortiGate avec un VPN SSL en peripherie, considerez cette semaine comme une raison de renouveler vos identifiants. Un jeu de donnees que les chercheurs appellent FortiBleed a fait surface le 18 juin 2026 : il contient des noms d’utilisateur, des adresses e-mail et des mots de passe en clair lies a 73 932 URL uniques de pare-feux FortiGate dans 194 pays. Le chercheur en securite Kevin Beaumont a verifie les donnees et evalue le total a environ 75 000 appareils, en notant que presque tous sont encore en ligne.

Il ne s’agit pas d’une nouvelle vulnerabilite avec une CVE a corriger. C’est un jeu d’identifiants actif, et c’est ce point qui compte pour une petite ou moyenne equipe qui utilise Fortinet en peripherie.

Suis-je concerne ?

Le jeu de donnees correspond a des points de terminaison VPN SSL FortiGate. Les chercheurs de Hudson Rock, qui ont analyse les donnees en premier, ont compte 73 932 URL de pare-feux reparties sur 21 632 domaines, ce qu’ils estiment proche de la moitie des pare-feux FortiGate exposes sur l’internet public. Si votre passerelle repond aux connexions VPN SSL depuis l’internet, un chiffre global ne suffit pas a vous exclure.

L’analyse de Beaumont a montre que les identifiants correspondent a des configurations d’appareils Fortinet exportees, d’apres des metadonnees du jeu qui ne seraient normalement pas visibles. Autrement dit, ce sont de vrais mots de passe de comptes, pas des suppositions, et c’est pourquoi le conseil ci-dessous commence par le renouvellement plutot que par la detection.

L’angle honnete : personne n’a confirme comment les donnees ont ete collectees a l’origine. Cela peut remonter a d’anciennes vulnerabilites Fortinet, a une faille non divulguee, ou a des identifiants recoltes au fil du temps. Fortinet n’avait pas publie de declaration detaillee sur le jeu de donnees FortiBleed au moment de la redaction. Nous considererons l’origine comme non confirmee tant qu’une source primaire ne dira pas le contraire, et vous devriez faire de meme.

Quoi faire maintenant

1. Renouvelez aujourd’hui chaque identifiant VPN SSL FortiGate et chaque mot de passe administrateur. Comme les mots de passe fuites sont valides et en clair, le renouvellement est l’action qui ferme l’exposition. Commencez par les comptes d’administration et de service, puis les utilisateurs VPN locaux, puis tout compte qui reutilise le meme mot de passe ailleurs.
2. Imposez l’authentification multifacteur sur chaque connexion a la passerelle. Un mot de passe renouvele tombe quand meme a la prochaine recolte s’il est le seul facteur. Le MFA sur le VPN SSL transforme un mot de passe fuite en cle incomplete. Si une partie de vos utilisateurs n’ont pas le MFA, ce sous-ensemble est le point de depart.
3. Recuperez et examinez les journaux d’authentification des 30 derniers jours. Le groupe a l’origine des donnees aurait mene environ 1,16 milliard de tentatives d’identifiants contre 320 777 cibles FortiGate : cherchez des connexions reussies depuis des zones geographiques inhabituelles, des deplacements impossibles et des sessions en dehors des heures normales. Traitez toute correspondance comme une intrusion potentielle, pas comme du bruit.
4. Verifiez si vos identifiants exposes circulent deja. Les jeux fuites sont echanges et reutilises. Savoir lesquels de vos comptes figurent dans un dump comme celui-ci, avant qu’un attaquant ne s’en serve, fait la difference entre une reinitialisation de mot de passe et un incident.

Pourquoi une fuite d’identifiants est un probleme de peripherie

Une passerelle VPN est censee etre la porte d’entree controlee. Quand des identifiants valides pour cette porte fuient en clair, les defenses habituelles, un boitier corrige et une configuration durcie, n’aident pas, car l’attaquant n’exploite pas un bug. Il se connecte.

C’est aussi pourquoi FortiBleed se combine mal avec l’activite rancongiciel actuelle. Plusieurs groupes utilisent desormais les appareils de peripherie, FortiGate et boitiers similaires, comme leur principale voie d’entree avant de se deplacer lateralement. Un identifiant VPN fonctionnel raccourcit cette premiere etape, de plusieurs semaines de sondage a une seule connexion. Le risque cumule, un jeu d’identifiants actif plus des acteurs specialises dans l’acces aux appareils de peripherie, est la raison d’agir sur le renouvellement maintenant plutot que d’attendre une confirmation d’exploitation qui n’aura peut-etre jamais de CVE.

Comment CloudKey aide

Deux elements de ce dossier correspondent a ce que fait CloudKey. La surveillance du dark web observe les endroits ou les jeux d’identifiants fuites s’echangent et vous previent quand l’un de vos comptes ou domaines apparait, de sorte qu’un dump comme FortiBleed devient une notification au lieu d’une surprise. VulnMonitor tient un inventaire vivant de ce que vous exploitez, y compris les boitiers exposes a l’internet, donc quand une exposition touche Fortinet en peripherie, vous voyez quelles passerelles sont concernees au lieu de deviner. Aucun de ces outils ne renouvelle vos mots de passe a votre place. Ils vous disent ou diriger le renouvellement, et quelles expositions restent ouvertes.

Mises a jour

• 2026-06-19 Premiere publication. Le jeu de donnees FortiBleed a fait surface le 18 juin 2026 avec des identifiants en clair pour 73 932 URL de pare-feux FortiGate dans 194 pays, verifie par Kevin Beaumont a environ 75 000 appareils encore en ligne. L’origine de la collecte n’est pas confirmee ; Fortinet n’avait pas publie de declaration publique detaillee au moment de la redaction. Nous mettrons ce billet a jour a mesure que des sources primaires confirmeront la methode de collecte ou une exploitation active.