Les pare-feu de 270 organisations belges ont été touchés lors d’une attaque de grande envergure contre les systèmes Fortinet, selon un rapport de Secutec et SOCRadar. Dans 110 entreprises, les attaquants peuvent encore se connecter en tant qu’administrateur aujourd’hui.
Secutec et SOCRadar recensent le nombre de victimes belges d’une série d’attaques contre les pare-feu Fortinet. L’incident, connu sous le nom de « FortiBleed », est déjà considéré comme l’une des plus grandes cyberattaques jamais perpétrées contre un fournisseur de sécurité. À l’échelle mondiale, plus de 75 000 pare-feu ont été compromis et 110 millions d’identifiants de connexion ont été interceptés. La campagne est toujours active aujourd’hui.
Les attaquants ont exploité le portail partenaire de Fortinet, où les prestataires de services informatiques ont accès aux environnements clients. En obtenant les identifiants de connexion de dizaines de milliers de partenaires, les pirates ont pu accéder à des réseaux clients complets. Cela explique pourquoi l’impact s’étend à divers secteurs, des cabinets d’avocats aux administrations locales et aux écoles.
Une sécurité défaillante facilite l’attaque
L’enquête de Secutec et SOCRadar révèle de graves lacunes dans les pratiques de sécurité des organisations touchées. L’authentification multifactorielle n’était activée pour aucun des pare-feu examinés. De plus, les partenaires informatiques utilisaient souvent des mots de passe identiques pour plusieurs clients. Quatre-vingt-cinq pour cent des systèmes concernés ne fonctionnent pas avec le micrologiciel le plus récent, laissant ainsi des vulnérabilités connues ouvertes.
Sur les 270 organisations belges touchées, 150 pare-feu sont toujours directement accessibles via Internet. Pour 110 d’entre eux, les pirates peuvent encore se connecter avec les droits d’administrateur volés. Sur au moins 45 systèmes, Secutec a trouvé de nouveaux comptes créés par les pirates eux-mêmes, ce qui indique que l’accès est en cours de préparation pour être revendu sur le dark web.
Nouvelle méthode d’attaque
FortiBleed illustre une évolution de la cybercriminalité. Alors que les attaques par rançongiciel visaient autrefois le chiffrement des données, l’accent se déplace désormais vers le vol et le commerce d’accès et de données. « En Belgique, de nouveaux comptes ont déjà été créés par les pirates sur au moins 45 systèmes. Nous constatons qu’il est déjà question d’exfiltration de données à grande échelle dans plusieurs organisations à travers le monde », déclare Geert Baudewijns, PDG de Secutec.
Les attaquants ont utilisé la force brute pour obtenir l’accès en combinant de manière automatisée de grandes quantités de mots de passe et de noms d’utilisateur. Une fois à l’intérieur, ils ont installé FortigateSniffer, qui peut surveiller tout le trafic réseau via le pare-feu et intercepter les identifiants de connexion. Les données dérobées sont ensuite craquées et utilisées pour pénétrer plus avant dans les systèmes internes.
75 000 pare-feu démantelés
L’opération est liée à un groupe russe et se distingue par une organisation particulièrement forte. L’infrastructure des attaquants reste opérationnelle, avec de nouvelles compromissions chaque jour. À l’échelle mondiale, le compteur affiche environ 75 000 pare-feu touchés. Parmi les victimes figurent de grands noms tels qu’Oracle, Lenovo, Samsung et Orange.
Secutec a informé le CCB et les CERT nationaux européens. Les organisations utilisant des solutions Fortinet doivent de toute urgence mettre à jour leurs systèmes, activer l’authentification multifactorielle et contrôler les accès ainsi que les comptes.