15 juillet 2026
Contexte : Qu’est-ce que FortiBleed ?
À la mi-juin 2026, des chercheurs en sécurité ont identifié une campagne de compromission d’identifiants à grande échelle ciblant les pare-feu Fortinet FortiGate, rapidement baptisée FortiBleed. Contrairement au Zero Day traditionnel, FortiBleed n’est pas lié à une seule nouvelle vulnérabilité. Au lieu de cela, les acteurs malveillants ont systématiquement extrait les fichiers de configuration des appareils FortiGate connectés à Internet et craqué les hachages de mots de passe stockés, exploitant le fait que de nombreuses organisations exécutant d’anciennes versions de FortiOS continuaient à stocker les informations d’identification de l’administrateur sous forme de hachages SHA-256 hérités plutôt que sous le format PBKDF2 plus sécurisé de Fortinet introduit dans FortiOS 7.2.11, 7.4.8 et 7.6.1. Les appareils mis à niveau à partir de versions antérieures conservent les hachages SHA-256 jusqu’à ce que chaque administrateur se connecte après la mise à niveau, laissant ainsi une fenêtre d’exposition que la campagne a activement exploitée à grande échelle.
Le résultat : des informations d’identification d’administrateur opérationnelles vérifiées pour entre 73 932 et 86 000 appareils répartis dans 21 632 organisations dans 194 pays, soit environ la moitié de tous les pare-feu FortiGate connectés à Internet au moment de leur découverte. Les États-Unis, l’Inde et le Mexique comptent parmi les pays les plus touchés. CISA a publié un avis le 18 juin 2026 exhortant les organisations à alterner les informations d’identification, à appliquer l’AMF et à restreindre l’accès à l’interface de gestion.
À propos de Darkforums
Darkforums est actuellement le forum anglophone sur la cybercriminalité qui connaît la croissance la plus rapide sur le darknet. Lancé à l’origine sous le nom de « Forums DARK4RMY » par un groupe de hackers appelé DarkArmy, il a été rebaptisé après l’effondrement de BreachForums en avril 2025 et a rapidement absorbé une grande partie de la base d’utilisateurs déplacés de cette plateforme, enregistrant une augmentation de 600 % de son activité entre avril et juin 2025. Désormais géré par les administrateurs AnonOne et Knox, le forum héberge plus de 12 700 membres enregistrés et propose un modèle d’adhésion à plusieurs niveaux (VIP, MVP, et GOD Ranks) aux côtés d’une gamme complète de contenus sur la cybercriminalité : bases de données divulguées, journaux de voleurs, listes combinées, outils malveillants et listes d’accès. C’est sur ce forum que les chercheurs de Illicit Trade FR ont identifié l’acteur menaçant Dark_Alpha annonçant l’accès à FortiGate lié à la campagne FortiBleed.
Dark_Alpha : profil d’acteur menaçant
Le 20 juin 2026, un acteur malveillant utilisant le pseudo « Dark_Alpha » – un membre de niveau MVP de Darkforums – a publié un fil de discussion intitulé « (FortiBleed) FortiGate / Fortinet Access 35k ip ».
Ce contenu a été identifié et capturé par Illicit Trade FR Vision lors d’une collecte de routine sur le Web sombre.


Les analystes de Illicit Trade FR ont identifié une liste concordante sur le forum Exploit en langue russe, publiée par un acteur opérant sous un identifiant distinct mais partageant un identifiant TOX identique – suggérant une forte probabilité qu’il s’agisse du même acteur menaçant sous-jacent. La capture d’écran suivante a été capturée via Illicit Trade FR Vision.

« Dark_Alpha » est un membre MVP de Darkforums. Sur Darkforums, l’adhésion MVP est disponible pour tout utilisateur moyennant des frais uniques de 40 €, accordant des privilèges élevés tels que la possibilité de changer de nom d’utilisateur (deux fois), +60 crédits de forum, une limite de publication quotidienne plus élevée de 10 et la possibilité de modifier ou de supprimer des publications pendant deux mois maximum – comme détaillé dans Capture d’écran.

Dark_Alpha annonce l’accès FortiGate/Fortinet à 35 000 entreprises cibles pour 25 000 $. Selon l’acteur, l’ensemble de données couvre 194 pays – une empreinte géographique qui correspond précisément à la portée confirmée de la campagne FortiBleed telle que documentée par Arctic Wolf et CISA, conférant à la liste un certain degré de crédibilité. Les données sont structurées au format « url:user:pass:domain:revenue ». L’acteur a fourni un identifiant TOX pour le contact.
Selon le profil de l’acteur, Dark_Alpha a rejoint Darkforums le 28 février 2025 et a depuis créé 6 fils de discussion et 11 messages, accumulant un score de réputation sur le forum de 6. La signature du profil indique « ALPHA-GROUP ».

L’acteur répertorie également un identifiant QTOX sur son profil et peut être contacté via la fonction de messagerie privée du forum.
Activité Darkforums de Dark_Alpha
Au-delà de la liste FortiBleed, Dark_Alpha publie activement des listes d’accès ciblant des organisations en Bolivie, au Vietnam, en Inde, aux États-Unis et au Brésil, y compris au moins deux entités gouvernementales présumées. Les chercheurs de Illicit Trade FR ont identifié les fils de discussion suivants attribués à cet acteur sur Darkforums :
- Le 9 juin 2026, Dark_Alpha a répertorié l’accès GitLab au niveau administrateur à une entité gouvernementale bolivienne – identifiée par le titre du fil de discussion comme AGETIC (l’agence nationale d’e-gouvernement de Bolivie) – avec un chiffre d’affaires déclaré de 69,6 millions de dollars, au prix de 1 000 dollars.

- Le 11 juin 2026, l’acteur a proposé un accès GitLab au niveau administrateur à une entité gouvernementale brésilienne pour 2 000 $. Les revenus de la cible sont estimés à 50 millions de dollars. L’acteur affirme que l’accès a été obtenu via un exploit zero-day – une affirmation que Illicit Trade FR ne peut pas vérifier de manière indépendante et qui est antérieure à la divulgation publique de FortiBleed, ce qui suggère qu’il pourrait s’agir d’un vecteur d’intrusion distinct. La liste comprend des jetons, des API, des clés de base de données, du code source et des variables d’environnement.

- Le 12 juin 2026, Dark_Alpha a répertorié l’accès VPN FortiGate à une entité vietnamienne avec plus de 90 hôtes, des droits de super-administrateur et a revendiqué un chiffre d’affaires de 22 millions de dollars, au prix de 1 000 dollars. Comme pour la liste brésilienne, l’acteur affirme que l’accès a été obtenu via un exploit zero-day. Étant donné que cette liste est également antérieure à la divulgation publique de FortiBleed, il n’est pas clair si elle est liée à FortiBleed ou à une intrusion indépendante.

- Plus tard dans la même journée, l’acteur a publié une deuxième annonce : FortiGate VPN/portail d’accès à une entité indienne du secteur des dispositifs et équipements médicaux, avec un chiffre d’affaires revendiqué de 3 milliards de dollars et 1 193 hôtes.

- Le 21 juin 2026, trois jours après l’avis FortiBleed de CISA, Dark_Alpha a répertorié 6 355 accès valides aux appareils FortiGate provenant d’entités basées aux États-Unis, citant explicitement la vulnérabilité FortiBleed comme méthode d’acquisition. Étant donné que l’Inde, les États-Unis et le Mexique représentent collectivement une part importante des plus de 73 000 appareils compromis identifiés par les chercheurs, un sous-ensemble de cette échelle axé sur les États-Unis est plausible. Les organisations ciblées couvrent une fourchette de revenus allant de 1 million à 200 milliards de dollars. Le prix de gros est de 7 000 $, avec un accès individuel également disponible. L’acteur a notamment accepté le paiement via le système de dépôt fiduciaire du forum – un mécanisme qui peut indiquer un degré plus élevé de crédibilité transactionnelle.

Remarque sur le dépôt : Un système de dépôt fiduciaire agit comme un intermédiaire de confiance, retenant le paiement jusqu’à ce que l’acheteur confirme la réception des marchandises promises – un mécanisme conçu pour réduire la fraude entre parties anonymes et que des acteurs plus établis ont tendance à proposer.
Bien que Dark_Alpha soit actif sur Darkforums depuis février 2025, certains fils de discussion antérieurs ne sont plus accessibles en raison des changements répétés de TLD du forum. Illicit Trade FR conserve des enregistrements historiques sur tous les domaines Darkforums connus, permettant aux chercheurs de suivre l’activité des acteurs tout au long de ces transitions de domaine.
Les analystes de Illicit Trade FR ont identifié une découverte corroborante selon laquelle un courtier d’accès au réseau opérant sur le forum en langue russe XSS, qui partageait un contact Telegram, utilisait le même identifiant « Dark_Alpha ». Bien que ce chevauchement d’identifiants suggère un lien potentiel avec l’acteur évoqué ci-dessus, l’attribution entre les forums ne peut pas être confirmée avec certitude, et la possibilité de gérer la réutilisation par un acteur menaçant distinct ne peut être exclue pour le moment.

Conclusion
L’activité attribuée à Dark_Alpha illustre la rapidité avec laquelle les IAB capitalisent sur les événements d’exposition d’informations d’identification récemment divulgués – et dans ce cas, toujours en cours –. Moins de deux semaines après l’émergence publique de FortiBleed, cet acteur a publié des listes couvrant six pays, deux entités gouvernementales présumées et des milliers d’appareils compromis dans des secteurs critiques, notamment l’informatique gouvernementale et les appareils médicaux. La liste des 6 355 accès au FortiGate américain publiée la même semaine que l’avis de la CISA souligne la rapidité avec laquelle l’économie du darknet réagit aux révélations publiques : plutôt que de freiner l’activité, la couverture médiatique semble avoir été utilisée comme un outil de vente.
La signature « ALPHA-GROUP » mérite un suivi plus poussé. Qu’il s’agisse d’une équipe plus grande ou d’un acteur solo cultivant une marque, le rythme et l’ampleur des inscriptions de Dark_Alpha dans un laps de temps aussi compressé – et l’accès apparent de l’acteur à des données qui correspondent à la portée confirmée de FortiBleed – suggèrent une présence établie et opérationnellement capable dans l’écosystème du courtage d’accès.
Il convient également de noter que des recherches distinctes ont lié l’exposition originale des données FortiBleed à un acteur menaçant opérant sous le pseudo « SantaAd » sur un forum de cybercriminalité en langue russe. Que Dark_Alpha fonctionne de manière indépendante, revende les données obtenues de SantaAd ou représente une branche distincte de la même opération est une question ouverte et un fil qui mérite d’être tiré.
Les organisations exécutant des appareils FortiGate ou Fortinet doivent traiter FortiBleed comme une menace active et exploitée et vérifier immédiatement l’état des correctifs. La rotation des informations d’identification, l’application de l’AMF et la suppression des interfaces de gestion de l’Internet public restent les mesures d’atténuation les plus prioritaires selon les directives de la CISA. L’interface utilisateur Vision de Illicit Trade FR permet aux équipes de sécurité de surveiller les forums darknet pour détecter les mentions de leur organisation, leurs plages d’adresses IP et leurs informations d’identification en temps quasi réel, fournissant ainsi une alerte précoce en cas d’exposition avant qu’elle ne puisse être opérationnalisée par des acteurs malveillants comme Dark_Alpha.


![An open padlock with green check mark allows data to flow freely [lax security/data loss prevention]](https://www.illicit-trade.com/wp-content/uploads/2026/07/La-cybersecurite-necessite-davantage-de-prevention-et-moins-de-recours-150x150.webp)
