Fortinet ouvre une nouvelle page dans sa longue saga de correctifs d’urgence : en ce 15 octobre 2025, le CERT-FR publie une alerte sur plus d’une quinzaine de produits vulnérables, dont plusieurs très utilisés dans les infrastructures critiques. Fortinet venait de faire l’annonce la veille : https://fortiguard.fortinet.com/psirt/FG-IR-24-361 enfin, il y en a long comme le bras. (voir l’avis du CERT-FR)
Et comme souvent chez l’éditeur, certaines failles permettent tout simplement à un attaquant de prendre le contrôle à distance ou de bloquer les services réseau, rien que ça.
🧨 Des failles sérieuses… et exploitables
Le CERT-FR parle sans détour de « multiples vulnérabilités » dans les produits Fortinet. En clair : il ne s’agit pas d’un simple bug cosmétique, mais d’un ensemble de failles pouvant conduire à une exécution de code arbitraire, une élévation de privilèges, ou un déni de service distant.
L’une d’entre elles, référencée CVE-2025-25256, dispose déjà d’un code d’exploitation public, autrement dit d’un exploit disponible en ligne. Traduction : les attaquants n’ont plus qu’à copier-coller pour lancer des tests massifs sur Internet. Et on sait à quel point les pare-feu et appliances Fortinet sont surveillés de près par les botnets.
Les vulnérabilités concernent aussi bien le firmware FortiOS (le cœur du système des FortiGate) que des produits périphériques : FortiMail, FortiWeb, FortiProxy, FortiManager, ou encore FortiPAM. Autrement dit, la surface d’attaque s’étend sur tout l’écosystème de l’éditeur.
🧱 Les produits concernés
Voici la liste — non exhaustive, mais déjà impressionnante — des produits impactés selon l’avis du CERT-FR :
- FortiOS : versions 7.6.x antérieures à 7.6.3 et versions 7.4.x antérieures à 7.4.8
- FortiProxy : versions 7.6.x antérieures à 7.6.3 et 7.4.x antérieures à 7.4.4
- FortiMail : versions 7.6.x antérieures à 7.6.2 et 7.4.x antérieures à 7.4.4
- FortiManager / FortiManager Cloud : versions antérieures à 7.4.7 / 7.2.10
- FortiPAM : versions 1.5.x antérieures à 1.5.1 et 1.4.x antérieures à 1.4.3
- FortiWeb : versions 7.6.x antérieures à 7.6.4, 7.4.x antérieures à 7.4.9 et 7.0.x antérieures à 7.0.11
- FortiSIEM : versions 7.0.x antérieures à 7.0.4, 7.1.x antérieures à 7.1.8, 7.2.x antérieures à 7.2.6, 7.3.x antérieures à 7.3.2
- FortiNDR, FortiSOAR, FortiADC, FortiVoice, FortiCamera, FortiRecorder, FortiSwitchManager : toutes impactées dans leurs versions antérieures aux correctifs d’octobre.
On notera que les versions 7.x de FortiOS et FortiManager, massivement déployées en entreprise, sont parmi les plus touchées.
Selon Fortinet seules ces plateformes seraient impactées :
100E/101E, 100F/101F, 1100E/1101E, 1800F/1801F, 2200E/2201E, 2600F/2601F, 3300E/3301E, 3400E/3401E, 3500F/3501F, 3600E/3601E, 3800D, 3960E, 3980E, 4200F/4201F, 4400F/4401F, 5001E, 6000F, 7000E, 7000F
Bref, si votre supervision Zabbix commence à clignoter du côté des FortiGate, ce n’est probablement pas une fausse alerte.
💣 Impact et risques concrets
Sur le plan technique, plusieurs de ces vulnérabilités permettent :
- une exécution de code à distance sans authentification préalable,
- des élévations de privilèges via des services internes mal sécurisés,
- des attaques de déni de service via surcharge mémoire ou corruption de paquets,
- et même des injections XSS dans les consoles d’administration web.
En clair : un attaquant externe peut prendre la main sur les équipements ou désactiver temporairement un réseausans jamais franchir les défenses périmétriques classiques.
Dans certains cas, le code malveillant peut être injecté directement via les ports d’administration HTTP/HTTPS — un classique des attaques ciblant les appliances Fortinet.
Et puisque Fortinet confirme qu’un exploit public existe déjà, le risque passe de « théorique » à « opérationnel ».
Les chercheurs en sécurité signalent d’ailleurs une recrudescence de scans automatisés sur les ports 443 et 8443 des pare-feu FortiGate dès la publication du bulletin.
🧰 Que faire maintenant ?
Fortinet a publié des mises à jour correctives pour la plupart des produits mentionnés.
La première action est donc évidente : patcher immédiatement.
Les entreprises doivent vérifier la version exacte de leurs appliances (via l’interface d’admin ou en ligne de commande get system status) et appliquer les firmwares correspondants.
En attendant la mise à jour, quelques bonnes pratiques s’imposent :
- Désactiver ou restreindre les interfaces d’administration exposées à Internet (HTTP, HTTPS, SSH).
- Segmenter les réseaux contenant des appliances Fortinet pour éviter un rebond latéral.
- Activer la supervision des logs FortiAnalyzer / Syslog pour repérer toute tentative suspecte.
- Sauvegarder les configurations avant mise à jour et vérifier la signature des firmwares téléchargés.
🧭 Une piqûre de rappel pour les RSSI
Ce n’est pas la première alerte critique visant Fortinet en 2025 — ni la dernière.
Entre les précédents correctifs FortiOS, les incidents FortiGate VPN de 2023–2024 et les failles d’authentification dans FortiNAC, l’éditeur reste un acteur incontournable mais à haut risque.
Le problème n’est pas tant la qualité du produit que l’ampleur de sa présence dans les SI : quand un seul fournisseur concentre autant de fonctions (pare-feu, proxy, mail, SIEM, PAM…), chaque faille devient un multiplicateur de surface d’attaque.
🔗 Pour aller plus loin
L’avis complet et la liste détaillée des produits impactés sont disponibles sur le site officiel du CERT-FR — Avis CERTFR-2025-AVI-0871.
Et, aussi pour avoir toutes les références des Bulletins de sécurité de Fortinet.
🧩 Transparence ou fatalité ?
Soyons honnêtes : si Fortinet revient souvent dans les bulletins du CERT-FR, ce n’est pas uniquement parce que ses produits sont vulnérables, mais aussi parce que l’éditeur joue la carte de la transparence.
La grande majorité des failles publiées sont découvertes en interne, par les équipes de Fortinet elles-mêmes, puis annoncées publiquement et corrigées dans la foulée.
Ce choix, peu commun dans le monde des appliances de sécurité, mérite d’être salué.
Il démontre une volonté de traiter les vulnérabilités avant qu’elles ne soient exploitées, plutôt que de les dissimuler sous le tapis jusqu’à la prochaine fuite médiatique.
Alors oui, les bulletins s’enchaînent et les RSSI soupirent à chaque nouveau patch, mais mieux vaut un fabricant qui parle trop qu’un fournisseur silencieux jusqu’à l’incident.
Le sarcasme de cet article n’enlève donc rien au travail rigoureux et réactif des équipes de Fortinet — et, quelque part, heureusement pour nous, la cybersécurité avance aussi grâce à ceux qui osent tout dire, surtout quand ça pique un peu.
