La sécurité du réseau n'est plus seulement une question de blocage des ports et de filtrage du trafic : les dispositifs placés sur le périmètre, tels que les pare-feu de nouvelle génération (NGFW), sont devenus des portes d'entrée convoitées par les attaquants. Récemment, des chercheurs en sécurité ont documenté une campagne dans laquelle des acteurs malveillants ont ciblé les appareils FortiGate pour ouvrir la voie aux réseaux de victimes, obtenir des références de comptes de service et, de là, se déplacer latéralement dans les infrastructures essentielles. L'analyse détaillée est disponible dans le rapport SentinelleUn, qui décrit comment ces intrusions profitent des vulnérabilités signalées et des configurations faibles.
Un aspect clé que les chercheurs expliquent est le rôle privilégié que joue NGFW bien configuré: en plus d'inspecter et de filtrer le trafic, beaucoup sont intégrés aux services d'authentification tels que Active Directory (AD) ou LDAP pour cartographier les utilisateurs, mettre en œuvre des politiques de rôle et accélérer les interventions en cas d'incident. Cette même intégration, quand elle tombe entre de mauvaises mains, devient un pas direct vers les biens les plus sensibles d'une organisation. Comme le soulignent les auteurs du rapport, l'accès aux références de compte de service peut permettre une authentification automatisée par rapport à l'annuaire et aux opérations de l'entreprise qui seraient impossibles à partir d'un compte standard.
Le modus operandi observé comprend la mise à profit de défaillances connues dans le firmware lui-même ou l'exposition de faibles pouvoirs administratifs pour extraire le fichier de configuration de l'appareil. Dans au moins un incident documenté, les attaquants ont réussi à créer un compte administratif local appelé « support » et à mettre en place des règles de pare-feu qui permettaient ce compte circulaire entre les zones du réseau sans restriction. Ce comportement est typique de ce que les courtiers en accès initial font: établir et maintenir un accès persistant et commercialisable jusqu'à ce que d'autres criminels l'achètent ou l'utilisent pour déployer des accusations nuisibles.
La chronologie de l'attaque montre comment une première intrusion peut passer des mois en silence : après avoir maintenu l'accès, les adversaires sont revenus sur l'appareil des mois plus tard et ont supprimé la configuration contenant des identifiants chiffrés des services LDAP. Selon SentinelOne, il y avait des preuves que ces pouvoirs ont été récupérés en texte clair et utilisés pour authentifier l'AD avec le compte de service «fortidcagent». Avec ce niveau de privilège, les attaquants ont pu enregistrer des postes de travail frauduleux dans le domaine, exécuter des balayages réseau et, dans d'autres cas, déployer des outils d'accès à distance tels que Pulseway et MeshAgit pour maintenir la télécommande. Le rapport documente également le téléchargement de logiciels malveillants depuis le stockage en nuage en utilisant PowerShell et l'exécution d'une charge Java par le chargement latéral DLL qui a exfiltré la base de données AD (NTDS.dit) et la branche SYSTEM du registre vers un serveur externe (indicateur cité: "172.67.196 [.] 232" sur le port 443).
Le fait que l'attaquant ait pu extraire des données de NTDS.dit est particulièrement grave : ce fichier stocke des hashes et des objets critiques du domaine, et son vol facilite la levée de mots de passe, l'escalade des privilèges et la préparation de campagnes ultérieures telles que le déploiement d'ansomware ou le vol d'informations à grande échelle. Microsoft explique la sensibilité du fichier et pourquoi son intégrité et sa confidentialité sont fondamentales dans la gestion de Active Directory dans la documentation technique du service d'annuaire ( Répertoire actif : NTDS.DIT).
Ces types d'incidents n'illustrent pas seulement le risque technique, mais aussi la chaîne des conséquences: un dispositif conçu pour protéger le réseau peut devenir un levier pour le contrôler s'il n'est pas appliqué aux correctifs, si ses références ne sont pas suffisamment protégées, ou s'il reçoit des autorisations excessives. Fortinet publie des notices de sécurité et des patchs pour ses produits sur sa page officielle des notices de sécurité, et le firmware à jour est l'une des premières lignes de défense ( Avis de sécurité de Fortinet).
Que devraient faire les organisations pour réduire les risques? D'abord, appliquez des correctifs avec priorité sur les périphériques de bord et surveillez les changements dans les paramètres. Il est également crucial de réduire la portée et les privilèges des comptes de service utilisés par l'équipement réseau: si un compte de dispositif peut être authentifié contre AD avec des permis étendus, son engagement a un impact beaucoup plus important. Il convient également de séparer les fonctions administratives, de limiter l'exposition des interfaces de gestion aux réseaux de confiance ou aux VPN, et d'auditer en permanence l'accès et la création de comptes privilégiés. Tout cela est complété par la rotation et la protection des clés et des mots de passe, la mise en œuvre du MFA dans la mesure du possible et la surveillance des sorties suspectes vers des infrastructures tierces.
La leçon est claire: NGFW apporte de la valeur parce qu'ils connaissent le réseau et peuvent agir avec le contexte, mais que la visibilité ne devrait pas devenir une seule clé maîtresse. Les organisations qui dépendent de ces équipes devraient les traiter avec la même rigueur que les serveurs critiques : correctifs rapides, configurations minimales, rôles de service avec des privilèges limités et surveillance spécialisée. La communauté de la sécurité et les fournisseurs ont déjà montré que les agresseurs pointent vers ces éléments; la réponse pratique va en réduisant la surface de l'attaque et en ayant des procédures de détection et de réponse adaptées pour quand, inévitablement, quelqu'un passe la première barrière.
Les détails techniques du cas et les recommandations supplémentaires figurent dans le rapport SentinelOne, et les avis Fortinet fournissent les informations nécessaires pour identifier et corriger les erreurs dans des versions spécifiques. La protection de la porte d'entrée du réseau exige non seulement de bons produits, mais une maintenance diligente et une architecture qui suppose que tout appareil peut être compromis et qui limite les dommages si cela se produit.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...