FortiBleed et le maritime : une vraie exposition ?
Un rappel des faits, d’abord. FortiBleed a été révélé à la mi-juin 2026 par le chercheur indépendant Volodymyr « Bob » Diachenko, spécialiste de la traque des bases et serveurs laissés ouverts sur Internet. La fuite n’a pas surgi chez une victime. Il l’a débusquée du côté des attaquants : un serveur mal verrouillé, exposant leur outillage, leurs journaux et le jeu d’identifiants lui-même. L’opération, qu’il attribue à un groupe russophone à plusieurs opérateurs, aurait moissonné puis cassé les empreintes d’authentification de dizaines de milliers de boîtiers FortiGate, en enrichissant chaque entrée du secteur d’activité, du chiffre d’affaires et de l’effectif de la cible - de quoi préparer de futures attaques. Plusieurs chercheurs ont validé une partie du lot, dont le britannique Kevin Beaumont, qui a confirmé l’authenticité d’un échantillon d’identifiants d’administration.
Depuis, le sujet tourne en boucle dans la presse spécialisée. Comme souvent avec ce genre de fuite, elle comporte un découpage sectoriel, et donc du maritime, ce qui n’est pas très surprenant. Plusieurs synthèses ont circulé, avec chiffres et cartes qui veulent impressionner, souvent à des fins de FUD (Fear, Uncertainty, Doubt) commercial pour faire vendre des services. Il est parfois savoureux (pour un client final) de voir des entreprises de cybersécurité proposer des services de cybersécurité pour pallier les vulnérabilités d’éditeurs de solutions de cybersécurité (je m’inclus dedans). Passons. J’ai préféré analyser une partie de la donnée moi-même et compter, entité par entité.
Voici donc ce que ça donne, et pourquoi certains totaux méritent qu’on s’y attarde…
FortiBleed ? De quoi parle-t-on, au juste ?
Commençons par dissiper un malentendu. FortiBleed n’est pas une faille, il n’y a pas de CVE à corriger. C’est une agrégation d’identifiants d’administration de boîtiers FortiGate, récupérés de plusieurs façons : extraction de fichiers de configuration puis cassage des empreintes de mots de passe stockées avec un ancien algorithme faible, rejeu de mots de passe déjà connus, et remontées de journaux d’infostealers. Le résultat est une immense liste de couples « boîtier + compte administrateur », avec, pour chacun, l’adresse du boîtier et le pays où il se trouve.
Un point est souvent passé sous silence dans les reprises : figurer dans cette liste ne prouve pas qu’on a été victime d’une cyberattaque. Cela prouve « simplement » qu’un identifiant a été récupéré et se trouve désormais potentiellement dans la base d’un attaquant. Si le mot de passe a été changé depuis, l’entrée est historique et il n’y a potentiellement pas d’autre inquiétude que l’exposition du boîtier sur Internet. S’il ne l’a pas été, il reste valide et exploitable. Cette nuance est importante, car elle sépare un indicateur d’exposition d’une compromission avérée, et les deux ne se traitent pas de la même façon.
Le boîtier FortiGate est la porte d’entrée à de nombreux réseaux IT et OT : un pare-feu de périmètre qui assure également des fonctions de passerelle SSL-VPN. Qui en tient le compte administrateur tient la bordure du réseau. C’est exactement la matière première des courtiers d’accès initiaux, ces Initial Access Brokers qui font de cette revente d’accès à des opérateurs de franchise de rançongiciels leur « métier ».
Pourquoi le maritime est impacté
À terre, un armateur ou un port, c’est un système d’information classique, avec ses portails, ses VPN, ses interfaces d’administration parfois exposées sur Internet. Rien de propre au maritime jusque-là.
La spécificité arrive à bord. Sur un navire, le même type de boîtier garde souvent la frontière entre l’informatique de gestion et les systèmes d’exploitation du bord (notamment pour des opérations de maintenance à distance). Un accès au pare-feu peut ouvrir un chemin vers des systèmes OT. Même si ces accès par satellite sont maintenant (généralement) bien surveillés par des équipes et des équipements cyber, c’est pour cette raison qu’un stock d’identifiants FortiGate concerne le secteur bien au-delà de ses directions informatiques.
Le décompte, et ses pièges
Le jeu de données que j’ai pu consulter contient plusieurs dizaines de milliers d’identifiants FortiGate exposés, tous secteurs confondus. Pour en extraire la part maritime, la tentation est de filtrer sur le libellé sectoriel fourni avec chaque domaine. Mauvaise idée.
Ces libellés sont générés automatiquement, et ils se trompent assez souvent. Deux exemples parmi ceux qui m’ont arrêté : deux opérateurs télécoms des Caraïbes rangés en « transport et logistique maritime », et un centre de relation client catalogué « pétrole et gaz ». À eux seuls, ces deux télécoms concentraient près de 60 % des pare-feux que le filtre attribuait d’abord au maritime. Reprendre le total brut, sans discernement ni analyse, c’est donc bâtir une alerte sur deux erreurs fondamentales d’étiquetage.
Le libellé pèche aussi dans l’autre sens. Un grand nombre d’armateurs sont catalogués « services informatiques » ou avec un intitulé passe-partout, et ils passent alors sous le radar d’un filtre sectoriel. Le compte par étiquette sous-estime autant qu’il surestime.
J’ai donc travaillé directement au niveau de l’entité : croisement des noms de domaine avec une liste d’acteurs connus - compagnies de ligne, ports, chantiers, sociétés de classification, équipementiers, opérateurs satellite -, repérage des marques dissimulées derrière un intitulé générique, prise en compte des marines de combat et des garde-côtes, et vérification en source ouverte des cas ambigus, notamment quelques sociétés parapétrolières où seule la recherche permet de trancher entre l’offshore et le terrestre. Ce travail donne une base que j’estime propre, avec 203 organisations maritimes concernées car réellement présentes dans la fuite.

La physionomie est assez parlante. Le transport maritime domine largement, avec quatre-vingt-quatorze organisations, près de la moitié du total. Suivent la pêche et les produits de la mer, les services maritimes, les équipementiers et l’électronique embarquée, puis les ports et terminaux, l’offshore et, de manière générale, l’énergie marine, les chantiers, les opérateurs satellite, et jusqu’à cinq marines militaires. Le cœur opérationnel du secteur ressort nettement, bien au-delà des seules fonctions support.
En volume d’identifiants, ces 203 entités totalisent près de 400 comptes FortiGate exposés. La plupart n’ont qu’un seul boîtier concerné ; une minorité en concentre plusieurs. Un armateur de premier plan en aligne neuf, répartis sur plusieurs pays. La concentration compte autant que le total : quelques acteurs très exposés pèsent lourd dans le bilan.
Où sont ces boîtiers
L’adresse de chaque boîtier vient avec son pays. En agrégeant, la géographie de l’exposition maritime se dessine, et elle ne pointe pas vers l’Europe.

En tête, l’Inde, Taïwan, les Philippines, les États-Unis, Hong Kong, l’Indonésie, les Émirats, la Malaisie, Singapour. Autrement dit, les grands hubs portuaires et logistiques d’Asie et du Golfe, là où se concentrent armateurs, agents maritimes et manutentionnaires. C’est cohérent avec la répartition mondiale du tonnage et de la gestion technique des flottes, et cela déplace le centre de gravité du problème assez loin des frontières européennes.
L’angle satellite, là où ça devient fragile
C’est le volet le plus spectaculaire des synthèses parues, et le plus fragile. L’idée est juste : un pare-feu embarqué reçoit son adresse du réseau de l’opérateur satellite qui le raccorde. En repérant les adresses appartenant aux plages des grands fournisseurs VSAT, on retrouve donc les boîtiers installés à bord des navires, indépendamment du domaine sous lequel ils sont rangés. Le risque le plus opérationnel se concentre là, côté navire ; les sièges viennent après.
Sans trop détailler, je trouve qu’on s’avance beaucoup sur le fait que certains boîtiers sont forcément des boîtiers maritimes. Surtout lorsqu’on ne précise pas de méthodologie factuelle et reproductible.
Que faire, concrètement
Rien de tout cela n’est une fatalité, et les gestes utiles sont connus. Pour une organisation maritime qui utilise du Fortinet en bordure :
- Changer sans attendre tous les mots de passe d’administration et de VPN des équipements exposés sur Internet.
- Généraliser l’authentification à plusieurs facteurs sur les accès distants et d’administration.
- Passer à une version récente de FortiOS, puis se reconnecter avec chaque compte administrateur : c’est cette dernière étape qui purge enfin les vieilles empreintes de mots de passe restées dans la configuration.
- Sortir les interfaces d’administration de l’Internet public, et relire les journaux à la recherche de comptes inconnus ou de connexions inhabituelles.
- À bord, tenir sérieusement la séparation entre l’informatique de gestion et les systèmes d’exploitation.
Ce que j’en retiens
FortiBleed n’est pas la première fuite de ce type d’identifiant, et ce ne sera pas la dernière. Elle mérite pourtant qu’on s’y arrête : la donnée a été récupérée sur l’infrastructure des attaquants eux-mêmes, ce qui en dit long sur leur portée et leurs méthodes de travail. Les chiffres, en revanche, demandent une lecture prudente. Ils mesurent une exposition et un risque potentiel, qui pèsent surtout sur les organisations les moins bien infogérées ou les moins surveillées ; ils n’établissent pas qu’une intrusion a eu lieu. Les libellés bruts trompent, les cartes satellite reposent sur une donnée que le public n’a pas, et une entrée dans la liste reste une exposition - une vraie, sur laquelle il faut agir, mais une exposition tout de même. Deux cents organisations maritimes concernées, une géographie surtout asiatique et du golfe, une poignée d’acteurs très exposés : voilà une base solide pour prioriser, sans céder au vertige des grands nombres. En mer comme ailleurs, la marge entre la porte laissée entrouverte et l’intrusion se joue sur des gestes, souvent assez simples, d’hygiène.
Olivier JACQ, Président et fondateur de CYBERMOOV Consulting.