FortiBleed : 270 organisations belges identifiées
Secutec et SOCRadar ont identifié les organisations belges touchées par les attaques contre les pare-feu de Fortinet. Les enquêteurs révèlent les tactiques ultra sophistiquées utilisées par les cybercriminels pour percer les réseaux d’entreprises. Et annoncent des conséquences préoccupantes. Analyse de l’une des plus importantes failles de sécurité touchant des solutions de sécurité.
Quelques jours après la révélation du Fortibleed, une enquête de Secutec et SOCRadar dévoile les tactiques utilisées par les cybercriminels pour attaquer les firewalls des réseaux d’entreprises dans le monde, y compris en Belgique. L’analyse menée par l’entreprise de cybersécurité Secutec, en collaboration avec la Threat Research Unit de SOCRadar (spécialiste de la surveillance du dark web) a permis d’identifier les organisations compromises en février dernier.
Au moins 270 organisations belges ont été touchées par le FortiBleed, au cours duquel des cybercriminels ont dérobé des identifiants d’accès à des pare-feu Fortinet. Détail interpellant : dans plus d’une centaine d’organisations belges, les attaquants disposent encore aujourd’hui d’un accès administrateur au pare-feu et au réseau des organisations concernées.
Sur près d’un pare-feu sur deux analysés, les chercheurs ont découvert des comptes créés par les hackers eux-mêmes afin de maintenir leur accès aux systèmes. Les cybercriminels privilégient désormais l’exfiltration de données avant l’extorsion : les informations dérobées servent ensuite à exercer une pression financière sur les organisations victimes.
Un incident majeur pour un fournisseur en cybersécurité
FortiBleed est considéré comme l’un des plus importants incidents jamais survenus chez un fournisseur de solutions de sécurité. À l’échelle mondiale, Secutec et SOCRadar ont identifié plus de 75.000 pare-feu compromis. Plus de 110 millions d’identifiants d’accès ont été interceptés dans le cadre d’une campagne d’envergure qui se poursuit depuis le début de l’année 2026 et reste active à ce jour.
Selon l’enquête, l’attaque a exploité le portail partenaires de Fortinet, via lequel les prestataires de services informatiques accèdent aux environnements de leurs clients. Les pirates se sont emparés des identifiants de connexion de dizaines de milliers de partenaires, leur permettant d’accéder non pas à une seule organisation, mais à l’ensemble d’une chaîne de réseaux clients. Cela explique pourquoi l’impact s’étend simultanément à plusieurs secteurs et pourquoi des organisations de plus petite taille ont également été touchées.
Des conséquences préoccupantes en Belgique
L’enquête menée en Belgique révèle des conséquences particulièrement préoccupantes. Les identifiants dérobés concernent des organisations issues de secteurs variés, tels que des cabinets d’avocats, des administrations locales, des établissements scolaires et d’autres prestataires de services. Dans au moins 150 cas, les pare-feu concernés restent directement accessibles depuis Internet. Parmi eux, 110 permettent encore aujourd’hui une connexion avec les droits administrateur du partenaire informatique.
L’origine du problème réside souvent dans des pratiques de sécurité insuffisantes. Ainsi, aucun des pare-feu analysés ne disposait d’une authentification multifacteur activée, alors que les partenaires informatiques utilisent fréquemment les mêmes mots de passe pour plusieurs clients. En outre, 85 % des systèmes touchés n’exécutent pas la version la plus récente du micrologiciel (firmware), laissant ainsi ouvertes des vulnérabilités connues susceptibles d’être exploitées.
FortiBleed illustre parfaitement l’évolution des méthodes employées par les cybercriminels.
Des attaques motivées par le vol et la revente d’accès et d’informations
Geert Baudewijns, CEO de Secutec, nous éclaire sur le mode opératoire de l’attaque : « les attaques par ransomware visaient auparavant principalement le chiffrement des données, alors qu’aujourd’hui elles se focalisent sur le vol et la revente d’accès et d’informations. Nous qualifions ce phénomène d’« Initial Access Brokerage », c’est-à-dire la commercialisation d’accès compromis à des systèmes informatiques ».
En Belgique, de nouveaux comptes ont déjà été créés par les pirates sur au moins 45 systèmes, ce qui indique que ces accès sont préparés en vue d’une revente sur le dark web. « Nous constatons également que plusieurs organisations à travers le monde ont déjà subi d’importantes opérations d’exfiltration de données », explique Geert Baudewijns.
Selon les enquêteurs, l’opération est liée à un groupe russe et se distingue par un niveau d’organisation, de coordination et une ampleur sans précédent. Selon l’enquête, les attaquants ont obtenu leur accès par des attaques de type « brute force », consistant à tester automatiquement de grandes quantités de combinaisons de noms d’utilisateur et de mots de passe. Passé cette étape, ils ont installé FortigateSniffer, un outil capable de surveiller l’ensemble du trafic réseau transitant par le pare-feu et d’intercepter des identifiants via des dizaines de protocoles.
Les données dérobées sont ensuite déchiffrées, enrichies et utilisées pour progresser davantage au sein des systèmes internes, avant l’exfiltration systématique d’informations sensibles. Les chercheurs constatent que l’infrastructure des cybercriminels demeure pleinement opérationnelle et que de nouveaux systèmes sont compromis chaque jour.
Les organisations utilisant des solutions Fortinet appelées à prendre des mesures urgentes
Secutec a d’ores et déjà informé le Centre pour la Cybersécurité Belgique ainsi que plusieurs CERT nationaux européens. Les deux entreprises appellent les organisations utilisant des solutions Fortinet à prendre des mesures urgentes, notamment en mettant à jour leurs systèmes, en activant l’authentification multifacteur et en contrôlant les accès ainsi que les comptes utilisateurs.
Et à Geert Baudewijns de conclure : « FortiBleed illustre la vulnérabilité croissante de l’écosystème actuel des services informatiques : un seul maillon faible peut donner accès simultanément à des centaines d’organisations. Nous nous attendons à ce que ce type d’attaque à grande échelle visant les chaînes d’approvisionnement numériques se multiplie au cours des prochaines années ».