Une campagne de piratage massive baptisée « FortiBleed » a compromis plus de 70 000 pare-feux et VPN Fortinet utilisés par des entreprises et des gouvernements dans 194 pays, selon deux sociétés de cybersécurité.
D’après les rapports de Hudson Rock et SOCRadar, publiés le 17 juin 2026, les cybercriminels ont ciblé des pare-feux et passerelles VPN Fortinet exposés sur Internet. Le chercheur en sécurité Volodymyr « Bob » Diachenko a été le premier à signaler la campagne, avant que les deux sociétés n’en publient l’analyse détaillée.
Hudson Rock estime que plus de 73 000 URL uniques de pare-feux Fortinet ont été compromises, tandis que SOCRadar recense plus de 30 000 appareils piratés. Les attaquants ont utilisé des mots de passe déjà divulgués lors d’incidents antérieurs, des données collectées par des infostealers (logiciels voleurs d’informations) et du bruteforce de mots de passe pour accéder aux équipements, selon les deux rapports.
Une fois à l’intérieur d’un appareil, les pirates l’utilisaient comme « poste d’écoute » pour surveiller le trafic réseau, collecter des identifiants supplémentaires et alimenter le système de balayage pour compromettre encore plus d’équipements. « Le système s’auto-alimente », a écrit SOCRadar dans son rapport.
Parmi les entreprises dont les équipements figurent dans les données compromises, Hudson Rock cite Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens et PwC. Les secteurs les plus touchés sont les services IT, les matériaux de construction et les télécommunications, selon la même source. Des agences gouvernementales figurent également parmi les victimes, précise SOCRadar.
Les pays comptant le plus d’appareils affectés sont l’Inde, les États-Unis, Taïwan et le Mexique, selon Hudson Rock et SOCRadar. Les deux sociétés attribuent la campagne à des groupes cybercriminels russophones.
Contacté par TechCrunch, Fortinet a déclaré être « au courant d’une campagne de collecte d’identifiants menée par un tiers ciblant les pare-feux et passerelles VPN Fortinet ». L’équipementier a précisé que, selon son analyse, il s’agit « d’un réassemblage de données issues d’incidents antérieurs, ainsi que de bruteforce de mots de passe, et n’est lié à aucun incident ou avis récent ». Kevin Beaumont, chercheur en cybersécurité indépendant, a confirmé avoir analysé les données et estimé qu’elles sont authentiques.
Le chercheur a souligné dans une analyse publiée le 17 juin que la compromission montre que la complexité des mots de passe n’offre « aucune protection » lorsque ceux-ci sont volés au niveau du terminal avant d’être chiffrés.
Selon les rapports, les attaquants ont exécuté environ 1,16 milliard de tentatives de connexion contre plus de 320 000 cibles FortiGate, tout en lançant 2,1 milliards de tentatives de bruteforce contre plus de 160 000 serveurs MSSQL. Les données compromises ont ensuite été utilisées pour pénétrer les réseaux internes des organisations victimes, notamment en interceptant les hachages d’authentification VPN SSL.
Un élément technique notable de la campagne est l’utilisation par les pirates d’un cluster dédié de 45 GPU pour le cassage hors ligne des hachages interceptés, via la plateforme Hashtopolis. Cette infrastructure a permis aux attaquants de traiter un volume massif de données d’authentification et de maintenir un accès persistant aux réseaux compromis, selon les analyses de Hudson Rock et SOCRadar.
