Fortinet corrige en urgence la faille CVE-2026-35616 dans FortiClient EMS, activement exploitée depuis fin mars. CISA impose un patch immédiat.
En bref
- Une faille critique CVE-2026-35616 (CVSS 9.1) dans FortiClient EMS est activement exploitée depuis le 31 mars 2026.
- Toutes les organisations utilisant FortiClient EMS 7.4.5 et 7.4.6 sont concernées.
- La CISA exige un correctif avant le 9 avril 2026 pour les agences fédérales américaines.
Ce qui s'est passé
Fortinet a publié en urgence un correctif pour une vulnérabilité zero-day dans FortiClient EMS, sa plateforme de gestion centralisée des endpoints. Référencée CVE-2026-35616, cette faille de contournement d'accès API pré-authentification permet à un attaquant non authentifié d'exécuter du code arbitraire via des requêtes spécialement conçues. Le score CVSS de 9.1 sur 10 témoigne de la gravité exceptionnelle de cette vulnérabilité.
Selon les chercheurs de watchTowr, les premières tentatives d'exploitation ont été détectées sur leurs honeypots dès le 31 mars 2026, soit plusieurs jours avant la publication du correctif officiel. Les versions affectées sont FortiClient EMS 7.4.5 et 7.4.6, et Fortinet a diffusé un hotfix en attendant la sortie complète de la version 7.4.7.
Face à l'exploitation active confirmée, la CISA (Cybersecurity and Infrastructure Security Agency) a ajouté cette CVE à son catalogue KEV le 6 avril 2026, imposant aux agences fédérales américaines un délai de correction expirant le 9 avril 2026. Fortinet a confirmé avoir observé des exploitations en conditions réelles et presse ses clients d'appliquer le correctif immédiatement.
Pourquoi c'est important
FortiClient EMS est déployé dans des milliers d'entreprises pour gérer la sécurité des postes de travail à distance. Une compromission de cette plateforme donne potentiellement accès à l'ensemble du parc informatique géré, ce qui en fait une cible de choix pour les attaquants. La nature pré-authentification de la faille signifie qu'aucun identifiant n'est nécessaire pour l'exploiter, abaissant drastiquement la barrière d'entrée.
Fortinet accumule les vulnérabilités critiques ces derniers mois, et les produits de l'éditeur restent des cibles privilégiées des groupes APT. Les entreprises françaises utilisant FortiClient EMS doivent considérer ce correctif comme une priorité absolue, d'autant que l'ANSSI avait déjà alerté sur la recrudescence des attaques ciblant les équipements Fortinet.
Ce qu'il faut retenir
- Appliquer immédiatement le hotfix Fortinet pour FortiClient EMS 7.4.5 et 7.4.6, sans attendre la version 7.4.7.
- Vérifier les journaux d'accès API de FortiClient EMS pour détecter d'éventuelles tentatives d'exploitation depuis le 31 mars.
- Mettre en place une surveillance renforcée des équipements Fortinet et planifier une revue régulière des correctifs de sécurité.
Comment savoir si mon FortiClient EMS a été compromis ?
Examinez les journaux d'accès API pour repérer des requêtes inhabituelles depuis le 31 mars 2026. Recherchez des connexions depuis des adresses IP inconnues et des créations de comptes administrateurs non autorisées. Fortinet fournit des indicateurs de compromission (IoC) dans son advisory. En cas de doute, isolez le serveur EMS et contactez votre équipe de réponse à incident.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire