Une campagne de collecte d’identifiants ciblant des équipements Fortinet remet en lumière un risque persistant pour les entreprises : des accès VPN ou administrateurs compromis peuvent rester exploitables bien après le premier incident. Plus qu’une nouvelle faille à corriger, FortiBleed interroge la capacité des organisations à reprendre réellement le contrôle de leurs accès distants.
Une campagne qui vise la bordure du réseau
FortiBleed n’est pas présenté par Fortinet comme une nouvelle vulnérabilité, ni comme un nouvel avis de sécurité visant ses produits. L’éditeur a reconnu mi-juin avoir identifié une campagne de collecte d’identifiants ciblant ses firewalls et ses passerelles VPN, en précisant que les attaquants s’appuyaient sur des données issues d’incidents antérieurs et sur des tentatives de force brute.
La nuance ne réduit pas le risque, mais elle déplace le sujet. Il ne s’agit pas seulement de savoir si un correctif existe, ni de rechercher une CVE supplémentaire à appliquer en urgence. Le cœur du problème tient à des accès qui ont pu rester valides, circuler, être testés à grande échelle, puis réutilisés contre des équipements directement exposés sur Internet.
Plusieurs sociétés de renseignement cyber et chercheurs ont évoqué des dizaines de milliers d’équipements Fortinet concernés, avec des estimations tournant autour de 74 000 firewalls ou passerelles VPN. Les chiffres varient selon les sources et Fortinet conteste l’idée d’un incident nouveau. Mais le signal est suffisamment sérieux pour que les autorités américaines recommandent aux organisations concernées de réinitialiser les identifiants, de fermer les sessions actives, d’auditer les journaux et de limiter l’exposition des interfaces d’administration.
Le VPN, accès légitime et point d’entrée idéal
Le problème des accès VPN compromis est qu’ils ne ressemblent pas toujours à une attaque. Un identifiant valide, même obtenu par des moyens illégitimes, peut donner à l’attaquant une apparence d’utilisateur autorisé. Il ne force pas forcément la porte. Il l’ouvre avec une clé déjà en circulation.
C’est précisément ce qui rend ces campagnes difficiles à traiter. Quand un compte administrateur, un accès SSL VPN ou un mot de passe lié à un équipement périmétrique a été compromis, la réponse ne peut pas se limiter à une modification de configuration ou à l’application d’un patch. Il faut comprendre où l’accès a été utilisé, pendant combien de temps, avec quels privilèges et quelles actions ont ensuite été menées dans le réseau.
Pour une entreprise, surtout une PME ou une ETI, le firewall et le VPN sont souvent perçus comme des briques de protection. Ce sont pourtant aussi des points de concentration du risque. Ils gèrent les connexions entrantes, l’administration distante, les accès de prestataires, parfois les liaisons entre sites. Une compromission à ce niveau peut offrir à un attaquant une position très confortable pour préparer un mouvement latéral, créer de nouveaux comptes ou modifier des règles de sécurité.
La persistance des anciens incidents
FortiBleed illustre un phénomène bien connu des équipes cyber, mais encore sous-estimé dans les plans de remédiation. Un incident ne se termine pas toujours au moment où la faille est corrigée. Les identifiants collectés, les configurations exposées et les habitudes d’administration peuvent survivre longtemps à l’événement initial.
C’est aussi pour cela que les campagnes de credential stuffing ou de force brute restent efficaces. Les attaquants n’ont pas besoin de disposer d’une vulnérabilité inconnue si des mots de passe réutilisés, trop anciens ou insuffisamment protégés leur permettent de tester massivement des accès. À grande échelle, même un taux de réussite faible devient rentable.
Le nom FortiBleed peut donner l’impression d’un épisode unique, comparable à une faille majeure portant son propre surnom. Le risque réel est plus prosaïque. Il tient à l’hygiène des accès, à la rotation des mots de passe, à la généralisation de l’authentification multifacteur résistante au phishing, à la fermeture des interfaces d’administration publiques et à la capacité à repérer des connexions anormales dans les journaux.
Réinitialiser ne suffit pas toujours
Les recommandations publiées autour de FortiBleed vont toutes dans le même sens. Il faut couper les sessions actives, réinitialiser les comptes VPN et administrateurs, vérifier la robustesse du stockage des identifiants, imposer une authentification multifacteur et revoir les journaux firewall, VPN, annuaires et contrôleurs de domaine.
Mais cette liste ne doit pas être lue comme une simple procédure technique. Un accès compromis peut aussi avoir servi à installer une persistance, créer un compte secondaire, modifier une règle, récupérer une configuration ou explorer des ressources internes. La réponse doit donc inclure une vérification plus large de l’environnement, au-delà des seuls comptes immédiatement visibles.
Pour les RSSI, FortiBleed pose aussi une question d’inventaire. Quels équipements sont réellement exposés ? Quels accès administrateurs sont accessibles depuis Internet ? Quels prestataires disposent encore de comptes actifs ? Quels journaux sont conservés assez longtemps pour comprendre ce qui s’est passé ? Ces questions sont moins spectaculaires qu’une alerte zero-day, mais elles déterminent la capacité réelle à reprendre la main.
C’est moins spectaculaire qu’une faille zero-day, mais souvent plus difficile à solder. Tant qu’un accès distant compromis reste valide, l’incident initial n’appartient pas vraiment au passé.
