Digital

Fortinet / FortiCloud SSO : des firewalls compromis, des configurations sensibles dérobées

127
5
Share

À savoir

  • Un incident de sécurité sérieux touche actuellement l’écosystème Fortinet, et plus précisément le mécanisme FortiCloud SSO.
  • Des attaquants sont parvenus à accéder à des firewalls Fortinet, entraînant le vol de configurations sensibles, parfois critiques pour la sécurité des entreprises concernées.
  • Selon les informations disponibles, les attaquants ont exploité une faiblesse liée à l’authentification ou à la gestion des accès via FortiCloud SSO, leur permettant .

Un nouvel incident de sécurité majeur dans l’écosystème Fortinet

Un incident de sécurité sérieux touche actuellement l’écosystème Fortinet, et plus précisément le mécanisme FortiCloud SSO. Des attaquants sont parvenus à accéder à des firewalls Fortinet, entraînant le vol de configurations sensibles, parfois critiques pour la sécurité des entreprises concernées.

Cet événement rappelle brutalement une réalité souvent sous-estimée : les services cloud associés aux équipements de sécurité peuvent devenir des points d’entrée privilégiés lorsqu’ils sont mal protégés ou insuffisamment segmentés.

FortiCloud SSO : rappel de fonctionnement

Qu’est-ce que FortiCloud SSO ?

FortiCloud SSO est un service permettant de :

  • centraliser l’authentification des équipements Fortinet
  • relier les firewalls FortiGate à un compte FortiCloudCloud
  • faciliter l’administration, la supervision et le support
  • activer certaines fonctions cloud (sauvegardes, gestion à distance, synchronisation)

Ce service est très utilisé dans les environnements multi-sites et MSP, car il simplifie fortement la gestion des infrastructures Fortinet.

Ce qui s’est passé : une compromission ciblée

Accès non autorisé aux firewalls

Selon les informations disponibles, les attaquants ont exploité une faiblesse liée à l’authentification ou à la gestion des accès via FortiCloud SSO, leur permettant :

  • de se connecter à des firewalls Fortinet
  • d’accéder aux interfaces d’administration
  • d’extraire des fichiers de configuration

Dans certains cas, ces accès auraient été obtenus sans exploitation directe d’une faille locale sur le firewall, mais via la couche cloud.

Vol de configurations : un impact critique

Les fichiers de configuration FortiGate peuvent contenir :

  • adresses IP internes
  • règles de filtrage et de NAT
  • tunnels VPN
  • clés pré-partagées
  • certificats
  • comptes administrateurs
  • intégrations LDAP, SSO, AD

Autrement dit, une cartographie complète du réseau de l’entreprise.

Analogie simple :

Ce n’est pas seulement la porte qui est ouverte,
ce sont les plans détaillés du bâtiment qui sont volés.

Pourquoi cet incident est particulièrement grave

1. Les firewalls sont des équipements de confiance absolue

Un firewall est censé être :

  • le dernier rempart
  • l’élément le plus surveillé
  • un composant hautement sécurisé

Lorsqu’il est compromis, toute la posture de sécurité est remise en question.

2. L’attaque touche la couche cloud

Même des firewalls correctement patchés peuvent être affectés si :

  • l’accès FortiCloud est activé
  • les comptes SSO sont compromis
  • les permissions cloud sont trop larges

Cela montre que la surface d’attaque ne se limite plus au matériel, mais englobe désormais les services cloud associés.

3. Un risque de compromission silencieuse

Une fois les configurations volées, un attaquant peut :

  • préparer des attaques ultérieures
  • exploiter des tunnels VPN existants
  • contourner les règles de filtrage
  • se connecter sans déclencher d’alerte immédiate

Le danger n’est donc pas uniquement immédiat, mais aussi différé.

Qui est concerné ?

Les environnements les plus exposés sont :

  • entreprises utilisant FortiCloud SSO
  • MSP et infogéreurs
  • infrastructures multi-sites
  • organisations avec accès cloud activé par défaut
  • firewalls exposés à Internet pour l’administration

Les petites structures comme les grandes entreprises peuvent être touchées.

Mesures de sécurité urgentes à appliquer

Actions immédiates recommandées

  • Désactiver FortiCloud SSO si non indispensable
  • Changer immédiatement tous les mots de passe administrateurs
  • Régénérer les clés VPN et certificats
  • Vérifier les comptes et permissions FortiCloud
  • Auditer les journaux d’accès et de configuration

Bonnes pratiques à long terme

  • Restreindre strictement l’administration distante
  • Utiliser des comptes nominatifs avec MFA
  • Segmenter les accès cloud et on-premise
  • Mettre en place une supervision active des changements de configuration
  • Sauvegarder les configurations de manière chiffrée et hors ligne

Une tendance inquiétante : la sécurité qui attaque la sécurité

Cet incident s’inscrit dans une tendance plus large :
les éditeurs de solutions de sécurité deviennent eux-mêmes des cibles privilégiées.

Pourquoi ?

  • Ils donnent accès à des milliers d’infrastructures
  • Ils centralisent des données critiques
  • Ils bénéficient d’une confiance implicite très élevée

Un seul point faible peut avoir un effet domino massif.

La réponse de Fortinet et les attentes des clients

Dans ce type de situation, les attentes sont claires :

  • transparence sur l’incident
  • communication rapide et factuelle
  • correctifs et mesures compensatoires
  • recommandations claires pour les clients

Pour les entreprises, cela souligne l’importance de ne jamais dépendre aveuglément d’un seul fournisseur, même réputé.

Faut-il abandonner Fortinet ?

Non.
Fortinet reste un acteur majeur et performant du marché des firewalls.

Mais cet incident rappelle une règle essentielle :

La sécurité ne s’externalise jamais totalement.
Elle se contrôle, se vérifie et se surveille en permanence.

Les services cloud doivent être considérés comme des composants à risque, au même titre qu’un accès VPN ou un compte administrateur.

127
5
Share
Vous aimerez aussi
Digital

Agence GEO : pourquoi faire appel à une expertise comme Devsource pour votre visibilité digitale

6 min de lecture
À savoir Une Agence GEO accompagne les entreprises, les entrepreneurs et les entrepreneuses dans cette transformation digitale afin de renforcer leur visibilité…
Digital

Audit complet du site damso.com par Devsource

6 min de lecture
À savoir Pourtant, dans la réalité du web, le succès ne repose pas uniquement sur la popularité ou le style graphique. Vous…
Digital

Acheter ou louer un bien immobilier à Montargis : comment faire le bon choix ?

4 min de lecture
À savoir Cette diversité permet à chacun de trouver un bien adapté à son budget et à son projet. Acheter ou louer…