Déjà associée à des dizaines de milliers d’accès Fortinet exposés, la campagne FortiBleed prend une tournure plus sérieuse. Selon SOCRadar, les attaquants auraient aussi utilisé un outil maison pour transformer des pare-feu FortiGate compromis en postes d’écoute réseau.
FortiBleed ne se résumerait donc pas à une base d’identifiants retrouvée en ligne. Quelques jours après les premières révélations autour de cette fuite massive touchant des accès VPN et administrateur Fortinet, SOCRadar décrit une opération plus structurée, active depuis février 2026, et pensée pour entretenir la compromission dans la durée. D’après l’entreprise de renseignement sur les menaces, les attaquants ne se seraient pas contentés de tester des mots de passe déjà compromis ou obtenus par force brute. Une fois connectés à des pare-feu FortiGate accessibles depuis Internet, ils auraient détourné des fonctions légitimes de FortiOS pour intercepter d’autres secrets d’authentification.
La solution tout-en-un pour protéger votre entreprise
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Un outil maison pour écouter le trafic et siphonner des identifiants
En analysant la campagne FortiBleed, les équipes de SOCRadar indiquent avoir identifié l’usage d’un outil maison baptisé FortigateSniffer. Écrit en Go, il aurait été déployé après obtention d’un accès administrateur aux pare-feu FortiGate ciblés. Son rôle n’était pas d’exploiter une faille inédite, mais de détourner une commande légitime de FortiOS, diagnose sniffer packet, normalement utilisée par les administrateurs pour inspecter en temps réel le trafic qui transite par un pare-feu FortiGate afin de diagnostiquer des problèmes réseau.
D’après le rapport, les attaquants l’auraient utilisée pour surveiller les échanges susceptibles de contenir des informations d’authentification, directement depuis les équipements déjà compromis. Un emplacement stratégique, puisqu’un pare-feu FortiGate peut se trouver entre les accès distants, les services internes et les annuaires d’entreprise, et, par conséquent voir circuler des flux liés aux connexions des utilisateurs et utilisatrices, y compris les identifiants associés.
SOCRadar évoque ainsi une surveillance de nombreux protocoles et services, parmi lesquels Kerberos, LDAP, NTLM, RADIUS, SMB, RDP, WinRM, Microsoft SQL Server, MySQL, PostgreSQL, SMTP, IMAP, POP3, FTP ou Telnet. Les données capturées auraient ensuite été retraitées par les cybercriminels pour en extraire des éléments exploitables, comme des mots de passe en clair, des hashs, des tickets Kerberos, des éléments NTLM, des cookies de sessions, ou encore des identifiants liés aux bases de données et aux messageries.
L’accès initial aux pare-feu compromis n’aurait donc été qu’une première étape, destinée à collecter un maximum de secrets pour rebondir vers des services internes qui n’étaient pas exposés au départ, et ainsi propager l’intrusion.
Pourquoi réinitialiser les accès FortiGate ne suffit plus
Fortinet campe pour l’instant sur ses positions. Les données associées à FortiBleed proviendraient d’incidents antérieurs, de mots de passe réutilisés et d’attaques par force brute, sans lien avec une nouvelle vulnérabilité touchant ses produits.
Mais si des pare-feu FortiGate ont bien été compromis puis utilisés pour surveiller des échanges d’authentification, le risque ne se limite plus aux identifiants VPN et administrateur associés à ces équipements. Selon Kevin Beaumont, les attaquants auraient également exporté des configurations FortiGate depuis des appareils compromis afin d’en extraire les hashs de mots de passe pour tenter de les casser hors ligne.
Les organisations concernées doivent donc traiter comme compromis les comptes administrateur locaux, les comptes VPN, les secrets stockés et les accès réutilisés ailleurs. Il leur faudra donc d’abord vérifier si leurs domaines, adresses IP ou URL d’accès figurent dans la liste publiée par Beaumont, puis révoquer les identifiants exposés, activer l’authentification multifacteur sur les accès VPN et administrateur, et restreindre l’accès aux interfaces de gestion exposées en ligne aux seules adresses IP de confiance.
Une fois ces mesures d’urgence engagées, l’audit doit aussi porter sur ce que les attaquants ont pu faire après la compromission. Les journaux FortiGate, SSH, VPN et Active Directory doivent être examinés, de même que les exports de configuration, les connexions administrateur inhabituelles, les nouveaux comptes, les règles modifiées et les traces de rebond vers des services internes.
« diagnose sniffer packet » est une commande de diagnostic de FortiOS qui permet de capturer et d’afficher des paquets réseau en temps réel sur un pare-feu FortiGate. Utilisée normalement par un administrateur, elle aide à analyser des problèmes de routage, de latence ou de négociation entre services. Entre de mauvaises mains, elle transforme l’équipement en point d’écoute placé au cœur des flux, capable d’observer des authentifications et des sessions en transit. Le danger vient du fait qu’il ne s’agit pas forcément d’un “exploit” : l’attaquant s’appuie sur une fonction légitime, ce qui peut compliquer la détection si la supervision n’est pas rigoureuse.
Pourquoi un pare-feu compromis peut-il servir à voler des identifiants Kerberos, NTLM, LDAP ou RADIUS ?Un pare-feu situé entre les utilisateurs, les serveurs et l’annuaire d’entreprise voit passer une partie des échanges d’authentification et d’accès aux services. Kerberos, NTLM, LDAP ou RADIUS ne transportent pas tous des mots de passe en clair, mais ils peuvent exposer des éléments réutilisables (hashs, tickets, défis/réponses, jetons) selon la configuration et les protocoles utilisés. Avec une capture réseau ciblée, un attaquant peut récupérer de quoi tenter une usurpation de session, un relais d’authentification, ou une escalade de privilèges. Le risque augmente si des services anciens ou mal configurés sont en place (ex. authentification non chiffrée, protocoles hérités), ou si des identifiants sont réutilisés entre plusieurs systèmes.
Que signifie « casser un hash hors ligne » après export de configuration FortiGate, et en quoi est-ce différent d’une attaque par force brute en ligne ?Un hash de mot de passe est une empreinte calculée à partir du mot de passe ; on ne le “décrypte” pas directement, on essaie des candidats jusqu’à retrouver celui qui produit la même empreinte. « Hors ligne » signifie que l’attaquant teste ces candidats sur ses propres machines, sans interagir avec le pare-feu ou le VPN, ce qui évite les verrouillages de compte, les limitations de débit et une partie des alertes. À l’inverse, une force brute « en ligne » attaque directement le service d’authentification et se heurte plus facilement aux protections (MFA, rate limiting, bannissement). Si des hashs sont récupérés, la robustesse dépend surtout de la qualité des mots de passe et de l’algorithme de hashage/paramétrage utilisé (salt, itérations), d’où l’urgence de révoquer et renouveler les secrets potentiellement exposés.
