Cette fuite expose des identifiants administrateurs et VPN valides et actifs pour environ 75 000 équipements à travers le monde, dont plusieurs entités marocaines. Les attaquants ont procédé en extrayant des fichiers de configuration d'équipements FortiGate connectés à Internet, avant de casser hors ligne les empreintes chiffrées des mots de passe. Une fois ces identifiants en main, un acteur malveillant peut s'infiltrer directement dans un réseau interne via le VPN, rebondir sur l'Active Directory pour en prendre le contrôle total, ou déployer des rançongiciels et exfiltrer des données confidentielles.
Face à cette menace, la DGSSI formule plusieurs recommandations à appliquer sans délai. La première priorité est la réinitialisation immédiate de tous les mots de passe des comptes administrateurs et des accès VPN. Il est également recommandé de mettre à jour FortiOS vers les versions sécurisées (7.2.11, 7.4.8 ou 7.6.1), qui intègrent un chiffrement renforcé PBKDF2 — à condition que chaque administrateur se connecte au moins une fois après la mise à jour pour activer la migration de l'empreinte. L'activation de l'authentification multifactorielle sur tous les accès administratifs et VPN est présentée comme obligatoire, tout comme la restriction des interfaces de gestion pour qu'elles ne soient jamais exposées directement sur Internet. Enfin, un audit minutieux des journaux de connexion s'impose pour détecter toute activité suspecte : connexions hors horaires habituels, création de comptes non autorisés ou modifications de configuration inexpliquées.
La DGSSI met à disposition des outils de vérification permettant aux organisations de déterminer si leurs équipements sont concernés, accessibles via les plateformes SocRadar et HudsonRock.
Commentaires
Enregistrer un commentaire