Attaque
Nature de l’attaque
La campagne — baptisée FortiBleed par les chercheurs en sécurité — consiste à collecter massivement des identifiants de connexion (noms d’utilisateur et mots de passe) donnant accès aux pare-feux et passerelles VPN de Fortinet. Une fois ces accès obtenus, les pirates les utilisent pour pénétrer dans les réseaux des organisations clientes, y installer un logiciel espion et exfiltrer des données sensibles. Fortinet a reconnu mi-juin 2026 avoir identifié la campagne, mais conteste qu’il s’agisse d’une nouvelle vulnérabilité de ses produits.
Dates et chronologie
Selon Secutec, l’attaque a débuté en février 2026. Fortinet a publiquement reconnu la campagne de collecte d’identifiants mi-juin 2026. Le 22 juin, Secutec publie une alerte sur l’impact spécifiquement belge, en collaboration avec SOCRadar, spécialiste de la surveillance du dark web. L’attaque est toujours en cours au 23 juin 2026 : de nouveaux systèmes sont infiltrés chaque jour selon Secutec.
Acteurs impliqués
Les victimes identifiées en Belgique incluent des administrations locales, des cabinets d’avocats et des établissements scolaires. L’opération est décrite par Secutec comme liée à un groupe russe, avec un niveau d’organisation et une ampleur sans précédent selon le CEO Geert Baudewijns. Cette attribution n’est confirmée ni par Fortinet, ni par un État. Le Centre pour la cybersécurité belge (CCB) a été prévenu.
Chiffres et coûts
Les chiffres suivants sont issus des déclarations de Secutec et SOCRadar, non de Fortinet : 270 organisations belges touchées, dont 110 dont les pare-feux restent accessibles depuis Internet via les identifiants volés ; au moins 45 systèmes dans lesquels les pirates ont créé de nouveaux comptes pour maintenir leur accès. À l’échelle mondiale, plus de 110 millions d’identifiants d’accès auraient été interceptés, compromettant plus de 75 000 pare-feux. Aucun coût financier chiffré n’est indiqué dans les sources consultées.
Méthode
Comment l’attaque a fonctionné
Imaginez un serrurier malveillant qui dispose d’un vieux trousseau de clés récupéré lors d’un cambriolage précédent, et qui essaie méthodiquement chaque clé sur des centaines de serrures dans tout le pays — en ajoutant à son trousseau toutes celles qui fonctionnent. Il n’a pas besoin de forcer les portes : il cherche simplement les serrures que personne n’a pensé à changer. C’est la logique des attaques dites par force brute combinées à la réutilisation d’identifiants issus d’incidents antérieurs. Les attaquants ont testé automatiquement de grandes quantités de combinaisons identifiant/mot de passe sur les interfaces Fortinet exposées sur Internet, puis se sont connectés comme des utilisateurs légitimes sur les réseaux des victimes. Ils ont ensuite installé un logiciel espion pour préparer l’exfiltration des données.
Objectif recherché
Selon Secutec, l’objectif est double : extorquer de l’argent aux organisations en les menaçant de divulguer leurs données, ou revendre ces données sur le dark web. Plusieurs organisations à travers le monde ont déjà subi des opérations d’exfiltration, selon le CEO de Secutec.
Actions réalisées après la découverte
Secutec et SOCRadar ont alerté le CCB (Centre pour la cybersécurité belge). Les autorités américaines ont de leur côté recommandé aux organisations concernées de réinitialiser leurs identifiants et de fermer les sessions actives. Secutec appelle les organisations utilisant des solutions Fortinet à mettre à jour leurs systèmes, à activer l’authentification multifacteur et à auditer les comptes utilisateurs.
Conséquences pour les utilisateurs
Risques concrets
Pour les employés ou usagers des organisations touchées (mairies, écoles, cabinets d’avocats), les données professionnelles stockées sur les réseaux compromis sont potentiellement exposées : coordonnées, documents internes, données de dossiers. Ces informations peuvent alimenter des campagnes de phishing très précises, exploitant le nom de votre employeur, de votre avocat ou de votre établissement.
Concrètement, vous pourriez recevoir un message de ce type : « Madame, Monsieur, suite à une mise à jour de sécurité de notre système, votre accès au portail de votre mairie a été temporairement suspendu. Veuillez réactiver votre compte en cliquant ici et en confirmant vos informations : [lien frauduleux]. »
Ce qu’il faut vérifier
- Vérifier si son compte ou ses données sont concernés, notamment auprès de son employeur, de sa mairie ou de tout service utilisant des équipements Fortinet.
- Changer les mots de passe exposés ou réutilisés sur ces plateformes.
- Activer l’authentification à deux facteurs lorsque c’est possible.
- Surveiller les messages suspects et les connexions inhabituelles sur vos comptes professionnels.
Ce qu’il ne faut pas conclure trop vite
L’attribution de l’attaque à un groupe russe provient des seules déclarations de Secutec et n’est confirmée ni par Fortinet, ni par un État. Fortinet conteste par ailleurs qu’il s’agisse d’une vulnérabilité inédite de ses produits. Les chiffres d’impact (270 organisations, 110 millions d’identifiants) sont des estimations de sociétés privées, non des données officielles. L’enquête est en cours et l’étendue réelle des données exfiltrées n’est pas encore précisée.
Ce qui reste à suivre
L’attaque étant toujours active au moment de la publication, la liste des organisations compromises est susceptible de s’allonger. La réponse officielle de Fortinet et les éventuelles notifications aux victimes sont attendues. Les résultats des analyses du CCB pourraient affiner l’évaluation de l’impact en Belgique — et potentiellement dans d’autres pays européens.
Sources
- https://www.lalibre.be/economie/digital/2026/06/23/au-moins-270-organisations-belges-victimes-dune-cyberattaque-toujours-en-cours-53W5XOGCG5GYJMIZT4FMV5NRCM/
- https://www.solutions-numeriques.com/fortibleed-rappelle-une-evidence-genante-les-acces-vpn-restent-le-talon-dachille-des-entreprises/