Campagne FortiBleed (Fortinet) : industrialisation des attaques par réutilisation de mots de passe exposés

L’ampleur de la campagne est significative, avec environ 73 000 équipements exposés dans 194 pays, dont près de 30 000 disposeraient d’identifiants valides. Les organisations concernées couvrent de nombreux secteurs, incluant des entreprises de grande taille, dont certaines en France.

L’analyse de la campagne a été rendue possible par la découverte d’une infrastructure contrôlée par les attaquants, contenant bases d’identifiants, scripts et journaux d’activité. Ces éléments permettent d’attribuer avec une confiance moyenne la campagne à un écosystème russophone, sur la base d’artefacts linguistiques, de patterns d’infrastructure et de ciblages géographiques observés.

Pour les organisations du secteur de la santé, ce type d’attaque est particulièrement efficace dans des environnements combinant exposition d’équipements accessibles sur Internet et pratiques insuffisantes en matière d’hygiène des identifiants. Dans ces configurations, la probabilité de compromission est significativement augmentée du fait de la réutilisation de mots de passe et de la présence d’interfaces directement accessibles.

L’impact principal réside dans la capacité des attaquants à obtenir un accès direct aux périmètres réseau, notamment via les VPN et les interfaces administratives. Cet accès permettrait des mouvements latéraux au sein des systèmes internes, la surveillance du trafic ainsi que la collecte d’identifiants, créant un risque d’intrusion persistante.

Pour évaluer si son organisation est concernée, il est possible de consulter les plateformes publiques de vérification d’exposition, notamment le service de Hudson Rock, qui permet d’identifier si le nom de l’entreprise apparaît dans les jeux de données associés à la campagne.

En cas de correspondance, il convient d’identifier les équipements Fortinet potentiellement concernés puis d’analyser leur activité sur les derniers mois, en particulier les journaux d’authentification, afin de détecter d’éventuels comportements anormaux (tentatives de connexion répétées, connexions depuis des adresses IP inhabituelles, succès après échecs multiples).

Des entités françaises ont été impactées au sein des secteurs public et IT.

• Renforcer les pratiques d’hygiène des identifiants, notamment en matière de renouvellement et de non‑réutilisation des mots de passe.
• Mise en place de détection des tentatives de brute force et de credential stuffing sur les équipements périmétriques, tels que les VPN et pare‑feux.
• Surveillance des identifiants d’accès compromis, notamment via les canaux de revente sur le dark web, ainsi que le suivi des activités liées aux malwares de type stealer, doivent être intégrés dans les capacités de détection afin de limiter l’exploitation de ces identifiants dans des campagnes à grande échelle.