L'ANSSI alerte vendredi sur une faille critique qui touche les pare-feu Fortinet FortiGate en France. Les attaques, actives depuis deux ans, menacent la confidentialité des données des organisations concernées.
L'Agence nationale de la sécurité des systèmes d'information, l'ANSSI, tire la sonnette d'alarme sur une campagne massive qui vise les pare-feu Fortinet FortiGate. La faille en question, exploitée depuis début 2023, permet aux cybercriminels d'accéder aux données confidentielles à l'aide d'un lien symbolique malveillant déposé après l'exploitation de failles de sécurité connues.
Une menace d'envergure nationale qui touche le parc équipé de solutions Fortinet en France
La campagne d'attaques qui fait l'objet d'un bulletin d'alerte cible les équipements Fortinet FortiGate équipés de versions vulnérables du système d'exploitation FortiOS. Selon le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques), de nombreux équipements français sont déjà touchés, avec des compromissions qui remontent parfois jusqu'au début de l'année 2023 !
La technique de post-exploitation repose sur l'utilisation d'un lien symbolique malveillant, installé après l'exploitation de vulnérabilités préexistantes.
L'attaque concerne spécifiquement les versions FortiOS 7.0.x antérieures à 7.0.17, 7.2.x antérieures à 7.2.11, 7.4.x antérieures à 7.4.7, 7.6.x antérieures à 7.6.2, ainsi que toutes les versions antérieures à 6.4.16. Seuls les dispositifs ayant activé la fonctionnalité SSL-VPN sont vulnérables, mais cela représente tout de même une part considérable du parc installé en France.
La méthode utilisée permet aux hackers d'accéder à l'ensemble des données du système compromis. Les experts de l'ANSSI soulignent l'extrême dangerosité de cette vulnérabilité, qui ouvre potentiellement la voie à des fuites massives d'informations sensibles au sein des organisations touchées.
Comment réagir face à cette menace
Fortinet a publié des correctifs pour toutes les branches concernées le 10 avril 2025. La simple mise à jour supprime les fichiers malveillants, mais l'ANSSI précise que cette action n'est pas suffisante en cas de compromission avérée. Une démarche plus complète est donc nécessaire pour sécuriser l'infrastructure.
Dans le détail, les administrateurs réseau doivent d'abord isoler les équipements compromis, et réaliser un gel de données, pour permettre des investigations approfondies. Il est ensuite crucial de réinitialiser tous les secrets configurés sur ces équipements (certificats, mots de passe), ainsi que ceux ayant potentiellement transité par ces derniers (clés cryptographique, jetons d'identité, mots de passe également).
La troisième étape consiste enfin à rechercher des traces de propagation latérale dans le reste du système d'information. Comment ? En analysant les connexions sortantes depuis l'équipement compromis, et en vérifiant l'activité des comptes Active Directory configurés sur le dispositif.
