CVE-2026-35616 : l'infostealer FortiClient EMS frappe les réseaux d'entreprise

Une nouvelle campagne d'attaque observée en mai 2026 cible les entreprises via une vulnérabilité critique dans le serveur de gestion d'entreprise FortiClient (EMS) de Fortinet. La faille, suivie sous le code CVE-2026-35616, permet aux attaquants de contourner entièrement l'authentification et d'exécuter des commandes administratives sans jamais détenir de justificatifs valides. Il en résulte une attaque d'infostealer par le biais de FortiClient EMS à l'échelle de l'entreprise, qui touche les postes de travail gérés de l'organisation en masse, exposant ainsi les données sensibles des employés et de l'organisation à un risque sérieux.

Il ne s'agit pas d'une intrusion étroite et ciblée. Parce que FortiClient EMS est au cœur de la gestion des postes de travail pour les grandes organisations, une seule exploitation réussie peut se répercuter sur chaque appareil géré par le serveur.

Ce que CVE-2026-35616 permet aux attaquants de faire au sein des réseaux d'entreprise

FortiClient EMS est conçu pour offrir aux administrateurs informatiques un contrôle centralisé sur les politiques de sécurité des postes de travail, les configurations VPN et les déploiements de logiciels sur l'ensemble du parc d'une entreprise. C'est précisément cette portée administrative qui rend CVE-2026-35616 si dangereuse.

En exploitant la faille de contournement d'authentification, les attaquants obtiennent la capacité d'usurper l'identité d'acteurs administratifs légitimes sur le serveur. Depuis cette position, ils peuvent distribuer des logiciels vers les appareils gérés, modifier les configurations des terminaux et exécuter des commandes à distance sans déclencher les vérifications d'authentification standard qui alerteraient normalement les équipes de sécurité. Lors de la campagne de mai 2026, les attaquants ont utilisé cet accès pour distribuer un infostealer déguisé en correctif légitime de Fortinet, une couche d'ingénierie sociale qui fait passer la charge malveillante pour une maintenance de routine aux yeux des défenses automatisées comme des observateurs humains.

Fortinet a publié des correctifs adressant la vulnérabilité en avril 2026 après avoir constaté qu'elle était exploitée en tant que zero-day dans la nature. Les organisations qui n'ont pas encore appliqué ces correctifs restent exposées.

Quelles données personnelles et identifiants les infostealers récoltent-ils sur les appareils d'entreprise

Une fois l'infostealer opérationnel sur un poste de travail, son rayon d'action est vaste. Les infostealers modernes sont conçus pour aspirer tout ce qui est stocké localement ou transite par l'appareil : identifiants de navigateur enregistrés, cookies de session, données de saisie automatique, mots de passe stockés dans les gestionnaires de mots de passe, identifiants VPN, jetons de comptes de messagerie, et fichiers correspondant à des motifs associés à des documents sensibles.

Sur un appareil d'entreprise, cela crée un problème de confidentialité aggravé. Les employés utilisent fréquemment les machines professionnelles pour des tâches qui brouillent la frontière entre vie personnelle et professionnelle. Un seul terminal compromis peut révéler des identifiants de connexion à la fois pour les systèmes de l'entreprise et pour les comptes personnels auxquels l'employé a pu accéder sur cet appareil. Les cookies de session sont particulièrement dommageables car ils permettent aux attaquants de s'authentifier en tant que victime sans avoir besoin d'un mot de passe, contournant ainsi l'authentification multifacteur dans de nombreux cas.

Le mécanisme de distribution via la couche de gestion aggrave la situation. Comme la charge utile arrive par un canal administratif de confiance, les outils de détection sur les terminaux qui s'appuient sur des signaux comportementaux provenant de la couche utilisateur risquent de ne pas la détecter au stade initial de la distribution.

Cette attaque présente des similitudes structurelles avec d'autres campagnes qui utilisent des canaux logiciels de confiance comme vecteurs de distribution. Les tactiques d'ingénierie sociale qui déguisent des malwares en outils légitimes sont devenues un thème récurrent dans plusieurs groupes de menaces en 2026, soulignant comment les attaquants exploitent systématiquement l'écart entre ce qui semble légitime et ce qui l'est réellement.

Pourquoi les compromissions d'outils de gestion d'entreprise menacent la vie privée des employés à grande échelle

La plupart des discussions sur les violations de données se concentrent sur la base de données ou la couche applicative. La campagne FortiClient EMS met en lumière un risque différent et sous-estimé : la compromission au niveau de l'infrastructure de gestion.

Lorsqu'un attaquant contrôle l'outil qui gère les postes de travail plutôt qu'un seul terminal, le rayon d'action s'élargit considérablement. Au lieu d'un seul appareil d'employé compromis, chaque terminal sous cette instance EMS devient une cible potentielle. Pour les grandes entreprises, cela peut signifier des centaines ou des milliers de machines recevant la même charge malveillante en une seule diffusion coordonnée.

Cela crée également un problème spécifique pour la vie privée des employés, distinct d'une violation traditionnelle d'une base de données d'entreprise. Les infostealers qui s'exécutent sur des appareils individuels capturent des données que l'organisation elle-même peut ne jamais voir ou stocker de manière centralisée, notamment l'historique de navigation personnel, les identifiants de comptes personnels et des fichiers enregistrés localement qui n'ont jamais touché un serveur d'entreprise. Les employés ont peu de visibilité sur ce qui a été collecté sur leurs propres machines, et les processus standard de réponse aux incidents des entreprises sont souvent conçus autour de magasins de données centralisés plutôt que des données réparties sur les postes de travail.

Ce que les employés soucieux de leur vie privée et les équipes informatiques devraient faire immédiatement

Pour les équipes informatiques et de sécurité, la priorité immédiate est l'application des correctifs. Fortinet a publié des correctifs pour la CVE-2026-35616 en avril 2026. Toute organisation utilisant FortiClient EMS qui n'a pas encore appliqué ces correctifs doit considérer cela comme urgent. Les organisations devraient également auditer les journaux d'accès EMS à la recherche d'actions administratives anormales, en particulier les déploiements de logiciels ou les modifications de configuration qui n'ont pas été initiés par des administrateurs connus.

Au-delà de l'application des correctifs, cette campagne est une occasion utile de revoir la segmentation entre votre infrastructure de gestion et le reste du réseau. Les serveurs EMS ne devraient pas être directement accessibles depuis l'Internet public sans contrôles d'accès stricts, et les interfaces administratives devraient exiger des couches d'authentification supplémentaires même pour les utilisateurs positionnés en interne.

Pour les employés individuels, la situation est plus nuancée. Vous avez une visibilité limitée sur ce qui s'exécute sur un appareil d'entreprise géré, et encore moins de contrôle sur le fait que votre employeur ait appliqué les correctifs pertinents. Quelques mesures pratiques peuvent réduire votre exposition personnelle :

  • Évitez de stocker des identifiants de comptes personnels dans les navigateurs des appareils professionnels. Si un infostealer s'exécute, ces mots de passe enregistrés sont parmi les premières choses capturées.
  • Utilisez un appareil personnel distinct pour vos comptes personnels lorsque cela est possible, en gardant ce trafic totalement en dehors de l'infrastructure gérée par l'entreprise.
  • Envisagez un VPN personnel sur votre appareil professionnel pour le trafic qui ne relève pas des besoins de l'entreprise. Les attaques au niveau de la couche de gestion comme celle-ci ciblent les canaux administratifs et les logiciels des terminaux ; un VPN personnel exécuté sur l'appareil ajoute une couche de confidentialité chiffrée pour votre propre navigation que les campagnes d'infostealer distribuées via EMS ne peuvent pas facilement intercepter au niveau du réseau.
  • Activez des clés de sécurité matérielles ou une MFA résistante au phishing sur vos comptes personnels les plus sensibles. Même si des cookies de session sont capturés, les comptes protégés par des seconds facteurs basés sur le matériel sont nettement plus difficiles à accéder.

La campagne d'attaque d'infostealer via FortiClient EMS est un rappel clair que les compromissions d'infrastructure d'entreprise sont aussi des événements de confidentialité personnelle. L'application de correctifs ferme la porte spécifique ouverte par CVE-2026-35616, mais la réponse la plus durable consiste à revoir à la fois votre posture de sécurité organisationnelle et votre propre hygiène de données sur les appareils gérés.