📰 Source : BleepingComputer — Date de publication : 17 juin 2026

Le chercheur en sécurité Bob Diachenko a découvert un serveur exposé contenant une base de données massive de credentials Fortinet/FortiGate VPN, incluant noms d’utilisateur, adresses e-mail et mots de passe en clair. L’ensemble, baptisé “FortiBleed”, couvre 73 932 URLs de firewalls répartis dans 194 pays et 21 632 domaines uniques.

🎯 Organisations impactées : parmi les entités identifiées figurent Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid, Siemens, Lenovo, PwC, Accenture, Oracle, ainsi que des agences gouvernementales et des opérateurs d’infrastructures critiques.

🌍 Pays les plus touchés : Inde, États-Unis, Taiwan, Mexique, Turquie, Thaïlande, Colombie, Malaisie, Chili, Émirats arabes unis.

⚙️ Méthode d’attaque identifiée (d’après les artefacts exposés) :

  • Environ 1,16 milliard de tentatives de credentials contre 320 777 cibles FortiGate
  • 2,1 milliards de tentatives contre 163 650 systèmes Microsoft SQL Server
  • Interception de hashes d’authentification SSL VPN, crackés via un cluster de 45 GPU géré par Hashtopolis
  • Mouvement latéral vers des environnements Active Directory internes
  • Les attaquants ont laissé exposés des artefacts (scripts, logs, cron jobs, bash histories, connection strings)

🔍 Analyse technique : Le chercheur Kevin Beaumont a confirmé l’authenticité de plusieurs credentials admin. Il indique que les données semblent provenir d’exports de configurations Fortinet (présence d’adresses e-mail normalement inaccessibles autrement). Les adresses IP diffèrent de celles du leak Belsen Group de 2025, suggérant une collecte plus récente. Environ la moitié de tous les firewalls Fortinet accessibles sur Internet seraient concernés selon Shodan.

🏢 Secteurs les plus représentés : télécommunications, services IT, services financiers, gouvernement, santé, éducation, industrie manufacturière.

⚠️ Compromissions confirmées : plusieurs organisations au Japon, Taiwan, Vietnam, Irak et Turquie seraient entièrement compromises, dont un contractant de défense turc membre de l’OTAN avec vol présumé de documents classifiés.

🏭 Réponse de Fortinet : la société indique que les credentials proviennent d’incidents antérieurs et d’attaques par brute-force, et nie tout lien avec une nouvelle vulnérabilité ou un nouvel incident. Hudson Rock a publié une analyse indépendante et mis en ligne un outil de vérification gratuit FortiBleed.

📌 Cet article est un rapport d’incident combinant découverte de fuite de données, analyse technique indépendante et réponse du vendeur, destiné à informer les équipes de sécurité sur l’étendue de la compromission.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Unknown Russian-speaking multi-operator group (unknown) —

TTP

  • T1110.001 — Brute Force: Password Guessing (Credential Access)
  • T1110.002 — Brute Force: Password Cracking (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1590 — Gather Victim Network Information (Reconnaissance)
  • T1133 — External Remote Services (Initial Access)

Malware / Outils

  • Hashtopolis (tool)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 7475 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Unknown Russian-speaking multi-operator group (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/