Skip to content
Cyber Breaches
Recherche
Bourrage d’identifiantsEn cours

FortiBleed : un jeu de données fuite les identifiants VPN de ~74 000 pare-feu Fortinet

Un jeu de données baptisé FortiBleed a exposé des identifiants VPN Fortinet FortiGate valides — mots de passe en clair compris — pour 73 932 URL de pare-feu réparties dans 194 pays, fruit d'un groupe russophone qui a réutilisé des mots de passe issus de fuites antérieures et de journaux d'infostealers plutôt qu'une nouvelle vulnérabilité Fortinet.

Victime
Organizations running Fortinet FortiGate firewalls worldwide
SecteurTechnologieTélécomsÉnergieIndustrie
PaysÉtats-UnisCorée du SudTaïwanAllemagneJaponChine
GroupeUnattributed (Russian-speaking operators)

Le 17 juin 2026, le chercheur en sécurité Bob Diachenko a révélé un jeu de données fuité — baptisé FortiBleed — exposant ce qui semble être des identifiants VPN Fortinet FortiGate valides, y compris des noms d'utilisateur, des adresses e-mail et des mots de passe en clair, pour 73 932 URL de pare-feu réparties dans 194 pays et 21 632 domaines uniques. Les organisations exposées comprendraient de grandes entreprises mondiales telles que Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec et State Grid.

Pas une nouvelle vulnérabilité

Élément crucial, FortiBleed n'est pas l'exploitation d'une faille Fortinet inconnue. Fortinet a déclaré que son enquête indique que les identifiants ont été obtenus via des incidents antérieurs et des attaques par force brute et ne sont liés à aucune vulnérabilité, brèche ou avis de sécurité nouvellement divulgués. La campagne s'appuie plutôt sur une faille bien plus élémentaire : des organisations qui n'ont jamais renouvelé leurs identifiants après des compromissions antérieures, laissant des mots de passe qui circulent depuis dans des journaux d'infostealers et des bases de fuites toujours valides sur des pare-feu exposés sur Internet.

Une campagne multi-opérateurs à l'échelle d'Internet

La fuite est la partie visible d'une opération plus vaste attribuée à un groupe cybercriminel russophone multi-opérateurs. Plutôt qu'un simple bourrage d'identifiants, les opérateurs ont systématiquement scanné Internet à la recherche d'instances Fortinet exposées, puis les ont testées contre des bases d'identifiants historiques. La télémétrie liée à la campagne fait état d'environ 1,16 milliard de tentatives basées sur des identifiants contre plus de 320 000 cibles FortiGate, parallèlement à 2,1 milliards de tentatives par force brute contre plus de 160 000 serveurs MSSQL — produisant au total les 21 632 domaines compromis.

Pourquoi c'est important

FortiBleed illustre crûment que l'hygiène des identifiants, et pas seulement les correctifs, est essentielle à la sécurité du périmètre. Des identifiants VPN valides sur un pare-feu offrent aux attaquants un point d'entrée authentifié et propre au sein d'une entreprise — sans aucun exploit — et la portée du jeu de données, à travers près de 200 pays et des dizaines de milliers d'organisations, en fait une liste de cibles toute prête. Les défenseurs exploitant des équipements FortiGate ont été appelés à renouveler tous les identifiants VPN et d'administration, à imposer l'authentification multifacteur et à partir du principe que tout mot de passe réutilisé d'une fuite antérieure ou récolté par un infostealer est déjà entre les mains des attaquants.

Chronologie

  1. Le chercheur Bob Diachenko signale la découverte d'un serveur exposé contenant ce qui semble être des identifiants VPN Fortinet valides — noms d'utilisateur, adresses e-mail et mots de passe en clair — pour 73 932 URL de pare-feu réparties dans 194 pays et 21 632 domaines uniques.

  2. Fortinet indique aux journalistes que ces identifiants proviennent d'incidents antérieurs et d'attaques par force brute et ne sont liés à aucune vulnérabilité, brèche ou avis de sécurité nouvellement divulgués.

Sources

  1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
  2. techcrunch.comhttps://techcrunch.com/2026/06/17/cybercriminals-allegedly-hacked-tens-of-thousands-of-fortinet-firewalls-used-by-major-companies-all-over-the-world/
  3. arcticwolf.comhttps://arcticwolf.com/resources/blog/active-fortibleed-campaign-impacting-fortinet-devices-across-194-countries/
  4. hackread.comhttps://hackread.com/fortibleed-attack-fortinet-firewalls-credentials/
  5. cybersecuritynews.comhttps://cybersecuritynews.com/fortibleed-fortinet-firewalls-compromised/

Incidents liés

RançongicielContenu

Ver rançongiciel WannaCry

Un ver rançongiciel nord-coréen qui a exploité la vulnérabilité SMB EternalBlue pour se propager à environ 200 000 systèmes dans 150 pays en 24 heures. Il a paralysé le NHS britannique et mis à genoux l'industrie manufacturière à l'échelle mondiale.

Victim
~200 000 organisations dans le monde (NHS britannique, Telefónica, Renault, Deutsche Bahn, Honda et autres)
Loss
$6.00B
RançongicielContenu

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim
Foxconn (Hon Hai Precision Industry)
Chaîne d’approvisionnementContenu

Rançongiciel par chaîne d'approvisionnement contre Kaseya VSA (REvil)

Des affiliés de REvil ont exploité une faille zero-day d'injection SQL dans la plateforme de gestion à distance Kaseya VSA pour déployer un rançongiciel auprès d'environ 60 MSP et, à travers eux, d'environ 1 500 organisations en aval. La plus grande attaque par rançongiciel via la chaîne d'approvisionnement jamais enregistrée.

Victim
Clients de Kaseya VSA (~60 MSP, ~1 500 organisations en aval)
Loss
$200.0M
WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B