TL;DR : L’essentiel
- Une campagne cybercriminelle automatisée a extrait les configurations de près de 75000 pare-feu Fortinet connectés à Internet, exposant des milliers d’entreprises et d’institutions publiques dans 194 pays.
- Les attaquants ont exploité une puissance de calcul massive louée auprès de services d’intelligence artificielle pour déchiffrer hors ligne les mots de passe des administrateurs de ces équipements de sécurité.
- De nombreuses cibles utilisaient encore un algorithme de hachage obsolète, n’ayant pas réactivé leurs comptes après l’installation des correctifs de sécurité fournis par l’éditeur en début d’année dernière.
Les passerelles de sécurité qui protègent la lisière des réseaux d’entreprise se transforment parfois en véritables portes d’entrée pour les cybercriminels. La campagne FortiBleed illustre parfaitement ce phénomène, après avoir exposé les identifiants de connexion de près de 75000 pare-feu Fortinet à travers le monde. Ce piratage industriel, documenté en détail par le site d’analyse technique DoublePulsar, s’appuie sur une combinaison redoutable de numérisations de masse, de négligences d’administration et de ressources de calcul louées à la demande.
Pare-feu Fortinet : Comment l’opération FortiBleed a volé des milliers de mots de passe
Les attaquants ont d’abord ciblé les interfaces d’administration des pare-feu Fortinet directement exposées sur l’internet public pour récupérer leurs fichiers de configuration. Pour y parvenir, le groupe cybercriminel russophone a mené des balayages automatisés d’une ampleur inédite, réalisant plus de un milliard de tentatives de connexion sur environ 320’000 cibles potentielles. Comme le rapporte le média spécialisé CyberInsider, ces fichiers de configuration ont ensuite permis de mener des attaques par force brute hors ligne, à l’abri des systèmes de détection et de blocage habituels.
La réussite de cette exfiltration massive repose sur une faiblesse liée à la conservation des empreintes de mots de passe. Bien que l’éditeur ait déployé dès le début de l’année dernière un algorithme de protection robuste nommé PBKDF2, ce dernier ne s’activait qu’après une reconnexion effective de l’administrateur système suite à la mise à jour. En l’absence de cette action, des dizaines de milliers d’équipements ont continué à stocker leurs clés d’accès sous la forme de condensats SHA-256 salés obsolètes, bien plus faciles à déchiffrer.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Des infrastructures cloud détournées pour s’emparer des réseaux d’entreprise
Le piratage des accès d’un pare-feu Fortinet s’est appuyé sur l’utilisation détournée de ressources de calcul louées auprès de fournisseurs d’intelligence artificielle générative. En payant par simple carte bancaire, les opérateurs ont pu mobiliser instantanément une grappe de plus de 35 processeurs graphiques de classe entreprise pour casser les hachages récupérés à une vitesse fulgurante. Les investigations révèlent que les attaquants ont également utilisé la plateforme de gestion Hashtopolis pour coordonner plus de 40 puces graphiques, industrialisant ainsi le décodage des identifiants administratifs.
Une fois les mots de passe déchiffrés, les intrus ont pu se connecter directement aux interfaces d’administration pour s’introduire au sein des réseaux internes. Les analyses publiées par GBHackers montrent que les attaquants ont ensuite ciblé les infrastructures Active Directory pour élever leurs privilèges et exfiltrer des données sensibles. Les preuves de cette campagne ont été découvertes dans un répertoire informatique laissé accessible publiquement par les pirates, dévoilant des dossiers de connexions réussies classés par secteur d’activité, pays et chiffre d’affaires des victimes.
Face à cette menace caractérisée par la compromission de structures d’envergure, les experts recommandent logiquement une réponse immédiate. Les entreprises concernées doivent impérativement couper l’accès public à leurs interfaces de gestion, renouveler l’intégralité de leurs identifiants et forcer une reconnexion des administrateurs pour valider le chiffrement moderne de leurs accès.
Questions fréquentes sur la campagne FortiBleed
Qu’est-ce que l’opération FortiBleed ?
Il s’agit d’une vaste campagne de cyberespionnage automatisée qui a compromis les identifiants d’administration de près de 75000 équipements réseau à travers le monde. Les attaquants ont ciblé les interfaces de gestion exposées sur Internet pour exfiltrer les fichiers de configuration de ces appareils.
Comment les attaquants ont-ils obtenu les mots de passe des administrateurs ?
Après avoir dérobé les fichiers de configuration contenant les empreintes de sécurité, les pirates ont procédé à des attaques par force brute hors ligne. Ils ont loué une puissance de calcul massive composée de dizaines de puces graphiques initialement dédiées à l’intelligence artificielle pour casser rapidement ces clés d’accès.
Pourquoi les correctifs de sécurité récents n’ont-ils pas suffi à protéger ces pare-feu ?
Bien que l’éditeur ait introduit un système de hachage renforcé l’année dernière, cette protection ne devenait active qu’après une nouvelle authentification de l’administrateur système suite à la mise à jour. En l’absence de cette reconnexion, de nombreux appareils ont continué à stocker leurs accès sous une forme obsolète et vulnérable.
Quelles sont les mesures immédiates pour sécuriser les réseaux concernés ?
Les équipes de sécurité doivent désactiver l’accès public aux interfaces d’administration et renouveler immédiatement tous les mots de passe de gestion. Il est également indispensable de forcer une nouvelle connexion des comptes pour s’assurer que les identifiants soient chiffrés avec les derniers algorithmes de protection.
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
