Publié le 21 juin 2026 — Temps de lecture : 6 min

L’essentiel en 30 secondes

• Une campagne baptisée FortiBleed a exposé les identifiants administrateurs et accès VPN de près de 75 000 pare-feu Fortinet dans 194 pays.
• La DGSSI a émis une alerte le 18 juin 2026 : une trentaine d’entités marocaines sont concernées.
• Ce n’est pas une nouvelle faille « zero-day » : ce sont des clés d’accès valides qui circulent. Tant que les mots de passe ne changent pas, la porte reste ouverte.
• La vraie question pour le Maroc n’est pas « comment patcher ? » — c’est « combien de nos infrastructures critiques dépendent d’équipements et de données que nous ne contrôlons pas ? »

Ce qui s’est réellement passé

Le 17 juin 2026, des chercheurs en cybersécurité ont révélé l’une des plus vastes compromissions d’équipements réseau jamais documentées. Baptisée FortiBleed, l’opération a exposé les identifiants de connexion de près de 75 000 pare-feu FortiGate et passerelles SSL VPN de Fortinet — soit environ la moitié du parc Fortinet exposé sur Internet, réparti sur 194 pays et plus de 21 000 domaines.

Parmi les organisations dont les accès se sont retrouvés dans la nature : des géants comme Samsung, Oracle, Lenovo, FedEx, Siemens ou Foxconn. Des entreprises qui, pourtant, n’ont rien d’amateur en matière de sécurité.

Le scénario a une ironie cruelle : l’appareil chargé précisément de tenir les intrus à distance — le pare-feu — s’est transformé en porte d’entrée grande ouverte.

Une attaque « par les clés », pas par effraction

Contrairement aux cyberattaques spectaculaires qui exploitent une vulnérabilité inédite, FortiBleed repose sur quelque chose de plus banal et de plus dangereux : des identifiants valides. Les attaquants — un groupe russophone — ont scanné Internet à la recherche d’interfaces d’administration Fortinet exposées, intercepté les empreintes de mots de passe des VPN SSL, puis les ont cassées hors ligne à l’aide d’un cluster de cartes graphiques. À l’échelle : plus d’un milliard de tentatives d’authentification contre des centaines de milliers de cibles.

Une fois à l’intérieur, ils pouvaient surveiller le trafic, rebondir vers l’annuaire interne (Active Directory) et prendre le contrôle total du réseau. Fortinet minimise, évoquant un recyclage de données issues d’incidents passés et des attaques par force brute, sans nouvelle faille. Mais des analystes indépendants ont confirmé que les données sont en partie récentes, issues de fichiers de configuration exportés — et toujours exploitables tant que les équipements restent en ligne avec les mêmes mots de passe.

🔖 Citation à reprendre (pull-quote) « Avec FortiBleed, le débat « est-ce une faille ou un vieux fichier recyclé ? » n’a aucune importance pour la victime. Si la clé de votre maison circule, peu importe comment elle a été copiée : il faut changer la serrure aujourd’hui, pas demain. »

Le Maroc en première ligne : ce que dit l’alerte DGSSI

Le jeudi 18 juin 2026, la Direction générale de la sécurité des systèmes d’information (DGSSI), via son Centre de veille, de détection et de réaction aux attaques informatiques (maCERT), a notifié l’impact de FortiBleed sur le territoire national.

Le verdict : une trentaine d’entités basées au Maroc figurent parmi les systèmes touchés. Les noms cités dans la presse incluent des acteurs majeurs des télécoms, de la logistique, de la formation professionnelle et de l’enseignement supérieur.

Selon la note de la DGSSI, les attaquants ont récupéré ces identifiants en extrayant les fichiers de configuration d’équipements FortiGate connectés à Internet, puis en cassant les empreintes de mots de passe hors ligne. Le risque concret est clair : à partir d’un seul accès VPN ou administrateur compromis, un attaquant peut s’infiltrer dans le réseau interne, en prendre le contrôle, déployer un rançongiciel ou exfiltrer des données confidentielles.

Cet épisode ne tombe pas du ciel. Il s’inscrit dans une série d’incidents qui ont marqué le Maroc ces dernières années — touchant aussi bien des établissements publics que des opérateurs privés. La tendance est nette : la fréquence des cyberattaques augmente, et le Maroc n’est plus un spectateur, il est une cible.

L’angle que tout le monde évite : l’IA arme désormais les attaquants

Voici ce qui distingue 2026 des années précédentes. Une attaque comme FortiBleed exigeait, hier, une équipe technique aguerrie. Aujourd’hui, l’intelligence artificielle abaisse radicalement la barrière à l’entrée.

Un attaquant peu qualifié peut désormais demander à un agent IA de scanner automatiquement les systèmes vulnérables, de cartographier les cibles, d’organiser les tentatives de connexion et même d’optimiser le cassage des empreintes de mots de passe. Ce qui demandait des semaines d’expertise se scripte en quelques heures.

🔖 Citation à reprendre (pull-quote) « Nous entrons dans une ère où l’IA défend autant qu’elle attaque. La question n’est plus de savoir si vous serez visé, mais si votre IA de défense tourne plus vite que l’IA de l’attaquant. »

C’est précisément pour cela que la posture défensive doit changer de nature. La détection passive et les audits trimestriels ne suffisent plus face à des adversaires qui automatisent en temps réel.

Que doivent faire les organisations marocaines, maintenant

Voici le plan d’action en 6 étapes, aligné sur les recommandations officielles de la DGSSI — à exécuter cette semaine, pas le mois prochain :

1. Vérifier l’exposition. Contrôlez si vos domaines ou URL d’accès Fortinet figurent dans le jeu de données FortiBleed, via les outils de vérification disponibles. En cas de doute, considérez les accès comme compromis.
2. Réinitialiser sans délai tous les mots de passe VPN et administrateurs — en priorité les comptes super_admin, les comptes encore actifs et les accès utilisés hors réseau interne.
3. Forcer le chiffrement PBKDF2. Mettez FortiOS à jour vers une version sécurisée (7.2.11, 7.4.8 ou 7.6.1) et obligez chaque administrateur à se reconnecter pour déclencher la migration des empreintes. Sinon, changez manuellement les mots de passe depuis un compte super_admin.
4. Activer l’authentification multifacteur (MFA) sur toutes les connexions VPN et toutes les consoles d’administration. Un mot de passe volé ne doit jamais suffire à entrer.
5. Retirer l’interface d’administration de l’Internet public. Une console de gestion ne devrait jamais être joignable depuis le web ouvert — uniquement via un réseau de confiance.
6. Auditer les journaux (logs) pour repérer toute connexion ou activité suspecte sur la période récente. La fuite peut précéder l’intrusion de plusieurs jours.

La vraie leçon : la souveraineté numérique n’est plus une option

On peut traiter FortiBleed comme un incident technique de plus. Ce serait une erreur. C’est un signal stratégique.

La majorité des infrastructures critiques marocaines — banques, assurances, administrations, opérateurs — s’appuient sur des équipements étrangers, des configurations stockées on ne sait toujours où, et des données qui transitent par des couches que nous ne maîtrisons pas de bout en bout. Quand la première ligne de défense d’un pays dépend d’un fournisseur unique et d’un fichier de configuration exposé à l’autre bout du monde, ce n’est plus un risque informatique : c’est une question de souveraineté.

🔖 Citation à reprendre (la phrase pour les rédactions) « FortiBleed nous rappelle une vérité inconfortable : un pays qui ne contrôle ni son infrastructure de sécurité ni son intelligence artificielle ne contrôle pas vraiment ses données. La souveraineté numérique n’est pas un slogan — c’est la prochaine ligne de défense du Maroc. »

La réponse n’est pas de bannir les solutions internationales. Elle est de reprendre le contrôle : déploiements on-premise maîtrisés en interne, IA souveraine qui ne fait pas sortir la donnée sensible du périmètre national, gouvernance alignée sur la loi 09-08 et les standards internationaux de management de l’IA (ISO/IEC 42001). C’est exactement ce chantier que les institutions marocaines régulées doivent ouvrir — avant le prochain FortiBleed, pas après.

FAQ — FortiBleed et le Maroc

Qu’est-ce que FortiBleed ? FortiBleed est le nom donné à une fuite massive d’identifiants (accès VPN et administrateurs) liés à près de 75 000 pare-feu et passerelles VPN Fortinet dans le monde, révélée à la mi-juin 2026. Elle représente environ la moitié du parc Fortinet exposé sur Internet.

Quelles entités marocaines sont touchées ? La DGSSI a confirmé qu’une trentaine d’entités basées au Maroc sont concernées, couvrant les télécoms, la logistique, la formation et l’enseignement supérieur. La liste complète n’a pas été rendue publique par l’autorité.

FortiBleed est-il une nouvelle faille de Fortinet ? Non. Selon Fortinet, il ne s’agit pas d’une vulnérabilité zero-day mais de données issues d’incidents antérieurs et d’attaques par force brute. Le danger reste réel : les identifiants exposés sont valides tant que les mots de passe n’ont pas été changés.

Comment savoir si mon organisation est concernée ? Vérifiez si vos domaines ou vos URL d’accès Fortinet apparaissent dans le jeu de données FortiBleed via les outils de vérification dédiés. En cas de doute, traitez immédiatement vos accès VPN et admin comme compromis.

Que recommande la DGSSI ? Réinitialiser les mots de passe, forcer le chiffrement PBKDF2 via une version récente de FortiOS, activer le MFA, retirer les interfaces d’administration de l’Internet public et auditer les journaux de connexion.

Quel est le lien avec l’intelligence artificielle ? L’IA permet désormais à des attaquants peu qualifiés d’automatiser le scan des systèmes vulnérables et d’optimiser le cassage des mots de passe, ce qui accélère et démocratise ce type de campagne.

Hunter BI accompagne banques, assurances et organismes publics dans le déploiement d’IA souveraine et de gouvernance (ISO/IEC 42001, loi 09-08), via sa solution OnPremiseAgent et sa méthodologie propriétaire ADOPT™.