⚡ Points Clés

Plus de 16 620 pare-feu FortiGate dans le monde ont été compromis par une technique de persistance par symlink qui donne aux attaquants un accès en lecture seule aux configurations des appareils même après correction. La porte dérobée exploite les répertoires de fichiers de langue SSL-VPN et a affecté des appareils sur six continents, l’Asie (7 886), l’Europe (3 766) et l’Amérique du Nord (3 217) étant les plus touchées.

En résumé : Les organisations utilisant FortiGate avec SSL-VPN activé doivent mettre à niveau vers la dernière version de FortiOS, réinitialiser tous les identifiants VPN et LDAP, et mener une analyse forensique à la recherche d’artefacts symlink immédiatement, car la correction seule ne supprime pas la porte dérobée.

Lire l’analyse complète ↓

Publicité

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé
Les pare-feu FortiGate sont largement déployés dans les agences gouvernementales algériennes, les opérateurs télécoms et les institutions financières. Toute organisation utilisant SSL-VPN sur FortiGate est potentiellement exposée.
Infrastructure prête ?
Partiel
La plupart des organisations algériennes disposent de déploiements FortiGate mais manquent des capacités forensiques pour détecter la persistance par symlink après correction.
Compétences disponibles ?
Faible
L’expertise en réponse aux incidents et en forensique de firmware est rare en Algérie. Peu d’équipes de sécurité disposent des outils pour auditer les systèmes de fichiers FortiOS à la recherche de symlinks.
Calendrier d’action
Immédiat
Il s’agit d’une menace active avec exploitation confirmée. La correction et la rotation des identifiants doivent avoir lieu maintenant, pas au prochain cycle budgétaire.
Parties prenantes clés
RSSI, administrateurs réseau, directeurs informatiques gouvernementaux
Type de décision
Tactique
Cela exige une réponse opérationnelle immédiate : vérifier les versions de firmware, rechercher les symlinks, faire la rotation des identifiants et envisager la désactivation du SSL-VPN jusqu’à la remédiation complète.

En bref : Les organisations algériennes utilisant FortiGate avec SSL-VPN activé doivent traiter cette situation comme une urgence. Mettez à niveau vers la dernière version de FortiOS, réinitialisez tous les identifiants VPN et LDAP, et menez une analyse forensique à la recherche d’artefacts symlink. La correction seule ne suffit pas ; partez du principe d’une compromission antérieure et enquêtez en conséquence.

Le correctif qui n’a pas fermé la porte

Fortinet a révélé en avril 2025 qu’un acteur malveillant avait mis au point une technique de post-exploitation inédite pour maintenir un accès persistant aux appareils FortiGate bien après la correction des vulnérabilités d’origine. Les campagnes de compromission initiales remontent à 2023, exploitant trois CVE critiques : CVE-2022-42475, CVE-2023-27997 et CVE-2024-21762. Ce qui rendait cette attaque exceptionnelle n’était pas la compromission initiale, mais ce qui suivait : les attaquants créaient des liens symboliques dans le répertoire des fichiers de langue SSL-VPN pointant vers le système de fichiers racine de l’appareil. Ces fichiers de langue étant accessibles publiquement sur les appareils avec SSL-VPN activé, le symlink offrait aux attaquants un accès persistant en lecture seule aux fichiers sensibles, incluant les configurations, les identifiants et les certificats.

La Shadowserver Foundation a confirmé que 16 620 appareils FortiGate exposés sur Internet étaient compromis par cette porte dérobée en avril 2025. La répartition géographique révèle une empreinte mondiale : l’Asie en tête avec 7 886 appareils affectés, suivie de l’Europe avec 3 766, l’Amérique du Nord avec 3 217, l’Amérique du Sud avec 1 054, l’Afrique avec 399 et l’Océanie avec 298.

La technique exploite une caractéristique de conception de FortiOS plutôt qu’un bug logiciel. Les appareils FortiGate avec SSL-VPN activé servent des fichiers de langue depuis un répertoire accessible aux utilisateurs. Les attaquants disposant d’un accès préalable ont créé un lien symbolique dans ce répertoire pointant vers le système de fichiers racine. Comme le symlink existait dans le système de fichiers utilisateur plutôt que dans le système de fichiers système, les correctifs et mises à jour de firmware standard ne le supprimaient pas. Les mécanismes de vérification d’intégrité de FortiOS n’ont pas non plus signalé la modification, car le symlink résidait dans un espace normalement considéré comme sûr.

Le résultat : même après l’application des correctifs pour les CVE d’origine, le symlink restait en place. Les attaquants pouvaient accéder à l’URL publique du fichier de langue et traverser le symlink pour lire n’importe quel fichier sur l’appareil, incluant les configurations en cours d’exécution avec des identifiants en clair ou hachés, les bases de données d’utilisateurs VPN et les identifiants LDAP.

Ceci n’est pas théorique. Le Centre canadien pour la cybersécurité, le CERT français et la CISA ont tous émis des avis confirmant l’exploitation active. En février 2026, des chercheurs d’ITRES Labs ont documenté CVE-2025-68686, une technique de double barre oblique contournant le correctif initial de Fortinet contre les symlinks, prolongeant davantage la fenêtre de menace.

Publicité

Les vulnérabilités sous-jacentes

Les trois CVE qui ont permis la compromission initiale représentent certaines des failles FortiOS les plus critiques de ces dernières années. CVE-2024-21762 est une vulnérabilité d’écriture hors limites dans FortiOS SSLVPNd avec un score CVSS de 9.8, permettant à des attaquants distants non authentifiés d’exécuter du code arbitraire via des requêtes HTTP malformées. La CISA l’a ajoutée au catalogue des vulnérabilités exploitées connues en février 2024. CVE-2023-27997 est un débordement de tampon heap dans le composant SSL-VPN, et CVE-2022-42475 est un débordement de tampon basé sur le heap qui a été activement exploité comme zero-day.

Des correctifs sont disponibles pour les trois vulnérabilités, mais le mécanisme de persistance par symlink signifie que la correction seule est insuffisante. Les organisations qui ont corrigé sans effectuer d’analyse post-compromission ont pu involontairement laisser la porte dérobée en place.

Réponse de la CISA et réponse mondiale

La CISA a émis un avis pressant les organisations à prendre des mesures immédiates au-delà de la simple correction. Les étapes recommandées incluent la mise à niveau vers FortiOS versions 7.6.2, 7.4.7, 7.2.11, 7.0.17 ou 6.4.16, qui suppriment spécifiquement les fichiers symlink malveillants. La CISA a également conseillé de réinitialiser tous les identifiants associés à la fonctionnalité SSL-VPN, incluant les comptes utilisateurs, les identifiants LDAP et les clés pré-partagées.

Pour les organisations incapables de corriger immédiatement, la CISA a recommandé de désactiver entièrement la fonctionnalité SSL-VPN jusqu’à ce que la mise à niveau puisse être effectuée. L’avis de Fortinet a souligné la nécessité d’examiner les configurations des appareils à la recherche de symlinks non autorisés et de mener une analyse forensique sur tout appareil ayant eu le SSL-VPN activé pendant la fenêtre de vulnérabilité.

Ce qui rend cette attaque significative

Cet incident représente un changement de paradigme dans la façon dont les défenseurs doivent envisager les correctifs. La gestion traditionnelle des vulnérabilités repose sur l’hypothèse que l’application d’un correctif comble la faille de sécurité. L’attaque par symlink sur FortiGate prouve que les adversaires sophistiqués planifient désormais en fonction du déploiement des correctifs, positionnant à l’avance des mécanismes de persistance qui survivent au processus de remédiation. Cela oblige les organisations à adopter une approche plus globale qui traite chaque vulnérabilité corrigée comme un indicateur potentiel de compromission antérieure nécessitant une investigation forensique.

L’échelle — plus de 16 000 appareils sur six continents — souligne également l’omniprésence des appliances FortiGate dans les infrastructures critiques. Chaque appareil compromis expose potentiellement non seulement la configuration du pare-feu, mais aussi l’ensemble de la topologie réseau, les identifiants VPN et l’infrastructure d’authentification qui se trouvent derrière.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Qu’est-ce que la technique de persistance par symlink sur FortiGate et pourquoi est-elle dangereuse ?

Les attaquants créent des liens symboliques dans le répertoire des fichiers de langue SSL-VPN de FortiGate pointant vers le système de fichiers racine de l’appareil. Ces fichiers de langue étant accessibles publiquement, le symlink offre aux attaquants un accès en lecture seule à tous les fichiers de l’appareil, incluant les configurations et les identifiants. La technique survit à la correction standard car le symlink existe dans le système de fichiers utilisateur, que les mises à jour de firmware ne nettoient pas.

Comment les organisations peuvent-elles détecter si leurs appareils FortiGate ont été compromis ?

Les organisations doivent mettre à niveau vers FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 ou 6.4.16, qui contiennent des vérifications spécifiques pour supprimer les symlinks malveillants. Après la mise à niveau, effectuez un examen forensique des configurations de l’appareil et vérifiez la présence de fichiers non autorisés dans le répertoire de langue SSL-VPN. La CISA recommande également de réinitialiser tous les identifiants potentiellement exposés.

La correction des appareils FortiGate supprime-t-elle la porte dérobée symlink ?

La correction standard seule ne supprime pas le symlink. Seules les versions spécifiques de FortiOS listées dans l’avis de remédiation contiennent la logique pour détecter et supprimer le lien symbolique malveillant. Les organisations ayant appliqué des correctifs antérieurs sans mettre à niveau vers ces versions spécifiques peuvent encore avoir la porte dérobée en place.

Sources et lectures complémentaires