Fortinet corrige en urgence CVE-2026-35616, un zero-day CVSS 9.1 dans FortiClient EMS exploité activement depuis le 31 mars. Hotfix disponible pour les versions 7.4.5 et 7.4.6.
En bref
- Fortinet corrige en urgence CVE-2026-35616, une faille de contournement d'authentification API dans FortiClient EMS avec un score CVSS de 9.1
- FortiClient EMS versions 7.4.5 et 7.4.6 sont affectés — un hotfix est disponible en attendant la version 7.4.7
- Exploitation active confirmée depuis le 31 mars 2026 — appliquer le correctif immédiatement
Les faits
Fortinet a publié le 4 avril 2026 un correctif d'urgence hors cycle pour une vulnérabilité critique dans FortiClient Enterprise Management Server. Référencée CVE-2026-35616 avec un score CVSS de 9.1, cette faille de type CWE-284 (contrôle d'accès inapproprié) permet à un attaquant non authentifié de contourner les mécanismes d'authentification et d'autorisation de l'API pour exécuter du code arbitraire via des requêtes spécialement forgées. La vulnérabilité a été découverte par Simo Kohonen de Defused Cyber et Nguyen Duc Anh, qui l'ont signalée de manière responsable à Fortinet. Selon les chercheurs de watchTowr, les premiers honeypots ont enregistré des tentatives d'exploitation dès le 31 mars 2026, soit plusieurs jours avant la publication officielle du correctif, confirmant le statut de zero-day de cette vulnérabilité. Le CISA a réagi rapidement en ajoutant CVE-2026-35616 à son catalogue KEV (Known Exploited Vulnerabilities) le 6 avril 2026, imposant aux agences fédérales américaines un délai de correction au 9 avril. Cette chronologie extrêmement serrée témoigne de la gravité de la menace et de l'urgence du déploiement des correctifs pour toutes les organisations utilisant FortiClient EMS.
FortiClient EMS est un outil de gestion centralisée largement déployé dans les entreprises pour administrer les agents FortiClient sur l'ensemble du parc. Une compromission de ce composant donne potentiellement accès à la gestion de tous les postes de travail protégés par FortiClient, ce qui en fait une cible de choix pour les attaquants. Ce n'est pas la première fois que Fortinet fait face à des attaques ciblant sa chaîne logicielle et ses produits de sécurité. Les organisations qui dépendent de l'écosystème Fortinet doivent considérer ce type de vulnérabilité comme un risque systémique majeur nécessitant une stratégie de sécurité proactive.
Impact et exposition
Toutes les organisations utilisant FortiClient EMS versions 7.4.5 et 7.4.6 sont directement exposées. L'exploitation ne nécessite aucune authentification préalable, ce qui signifie que tout FortiClient EMS accessible depuis le réseau — et a fortiori depuis Internet — peut être compromis. Une exploitation réussie permet l'exécution de code avec les privilèges du service EMS, ouvrant la voie à une prise de contrôle complète du serveur de gestion et, par extension, de l'ensemble des endpoints administrés. Les secteurs les plus exposés sont ceux qui utilisent massivement FortiClient en environnement distribué : santé, éducation, services managés et administrations. Le fait que l'exploitation soit active depuis fin mars signifie que certaines organisations ont potentiellement déjà été compromises sans le savoir. Comme observé récemment avec d'autres vulnérabilités critiques sur des appliances réseau, les attaquants ciblent systématiquement les outils de gestion centralisée pour maximiser leur impact.
Recommandations
- Appliquer immédiatement le hotfix Fortinet pour FortiClient EMS 7.4.5 et 7.4.6 — ne pas attendre la version 7.4.7
- Vérifier les logs d'accès API de FortiClient EMS pour toute requête suspecte depuis le 31 mars 2026
- Restreindre l'accès réseau à l'interface d'administration EMS aux seules adresses IP autorisées
- Rechercher des indicateurs de compromission (connexions inhabituelles, comptes créés, modifications de politique)
- Surveiller les publications Fortinet pour la sortie de la version 7.4.7 avec le correctif définitif
Alerte critique
Exploitation active confirmée par des honeypots depuis le 31 mars 2026. Si votre FortiClient EMS est exposé sur Internet sans le hotfix, considérez-le comme potentiellement compromis et lancez une investigation forensique immédiate. La fenêtre de réponse se réduit drastiquement face à ce type de menace.
Comment savoir si mon FortiClient EMS a été compromis avant l'application du patch ?
Analysez les logs d'accès API de FortiClient EMS en recherchant des requêtes inhabituelles sur les endpoints d'authentification depuis le 31 mars 2026. Vérifiez également la présence de nouveaux comptes administrateurs, de modifications de politiques de sécurité non planifiées, ou de connexions sortantes anormales depuis le serveur EMS. Fortinet recommande aussi de vérifier l'intégrité des fichiers du serveur EMS et de comparer avec une installation propre.
Quelles versions de FortiClient EMS sont concernées par CVE-2026-35616 ?
Seules les versions 7.4.5 et 7.4.6 de FortiClient EMS sont affectées. Les versions antérieures à 7.4.5 et la future version 7.4.7 ne sont pas vulnérables. Un hotfix est disponible pour les deux versions concernées sur le portail de support Fortinet. Son déploiement est prioritaire et ne doit pas attendre une fenêtre de maintenance classique.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire