L’alerte a été lancée le 21 janvier 2026 par les équipes de la société de cybersécurité Arctic Wolf : des hackers exploitent activement une vulnérabilité pour pénétrer les pare-feu Fortinet FortiGate.

Leur but ? Compromettre ces équipements, qui servent à filtrer et sécuriser le trafic réseau d’une entreprise, en créant des comptes d’administration frauduleux et en exfiltrant la configuration complète des pare-feu.

Au cœur de leur stratégie d’infiltration, on retrouve une fonctionnalité de « connexion unique » (SSO) proposée via le service FortiCloud. Conçue pour simplifier la tâche des administrateurs, elle semble aujourd’hui être devenue un point d’entrée privilégié pour les attaquants.

Votre vie privée doit rester privée.

Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.

On pensait pourtant le problème résolu. Fin 2025, deux correctifs de sécurité avaient été déployés pour protéger précisément cette fonctionnalité.

Près de 11 000 équipements ont toujours la fonctionnalité vulnérable activée. // Source : The ShadowServer Foundation

Bis repetita pour la vulnérabilité Fortinet

Concrètement, en ciblant cette brique d’authentification, les pirates parviennent à contourner les contrôles de sécurité habituels et à se faire passer pour des administrateurs légitimes, sans avoir à fournir de mot de passe valide.

Une fois à l’intérieur, ils créent des comptes disposant d’un accès VPN et récupèrent la configuration complète du pare-feu, leur offrant ainsi une vue détaillée de l’architecture réseau de la victime.

Selon le rapport de recherche publié par les équipes d’Arctic Wolf, cette nouvelle campagne aurait débuté le 15 janvier et reprend à de nombreux égards les caractéristiques techniques des attaques observées en fin d’année dernière.

Répertoriée sous la référence CVE‑2025‑59718, la vulnérabilité avait pourtant fait l’objet d’une mise à jour de la part du fabricant (FortiOS 7.4.10).

C’est visiblement insuffisant : les chercheurs affirment qu’une « nouvelle vague d’activités malveillantes automatisées » exploite de nouveau cette faille.

Des milliers d’appareils encore vulnérables

En attendant la publication des nouvelles versions censées corriger définitivement la faille d’authentification, les chercheurs recommandent une mesure de précaution simple : désactiver temporairement la connexion via FortiCloud SSO de tous les appareils Fortinet.

D’après le site Shadowserver, qui surveille la sécurité d’Internet, environ 11 000 équipements Fortinet accessibles en ligne ont toujours la fonction FortiCloud SSO activée.