Fortinet Patches CVE-2026-35616: Urgent FortiClient EMS Fix

Alerte de sécurité urgente

Fortinet a publié des correctifs hors-cycle pour une vulnérabilité critique dans FortiClient EMS, identifiée CVE-2026-35616. La faille, notée CVSS 9.1/10 par l'avis de sécurité de l'éditeur, permet à des attaquants non authentifiés de contourner les contrôles d'accès des API en pré-authentification et d'obtenir une élévation de privilèges, notamment l'invocation d'API sensibles sur le service EMS². Des exploitations actives ont été signalées, ce qui rend la situation urgente pour toutes les organisations utilisant ce produit¹ ^³.

Les faits

Vulnérabilité : CVE-2026-35616. Contournement d'accès API en pré-authentification menant à une élévation de privilèges et à l'exécution d'appels administratifs non autorisés.
Versions affectées : consultez le bulletin PSIRT de Fortinet pour les versions précises impactées et les correctifs disponibles².
Exploitation observée : rapports publics indiquent des attaques en conditions réelles visant cette vulnérabilité¹ ^³.
Conséquences possibles : création d'utilisateurs administrateurs, modification de configurations déployées sur des endpoints, exfiltration de données sensibles, et déploiement de charges malveillantes à grande échelle.

Pourquoi agir maintenant

Si la console EMS est compromise, l'attaquant obtient un point de contrôle centralisé sur des milliers d'agents FortiClient. Cela permet de modifier les politiques de sécurité, distribuer du code malveillant ou désactiver la télémétrie, rendant la détection et la récupération beaucoup plus difficiles. Les équipes de sécurité ont une fenêtre limitée pour corriger, enquêter et contenir avant que des actions malveillantes ne deviennent persistantes.

Plan d'action prioritaire (72 heures)

0-6 heures

Inventorier immédiatement l'ensemble des instances FortiClient EMS, collecter versions, adresses d'administration et exposition réseau.
Bloquer l'accès public aux consoles exposées et appliquer des ACL restrictives sur les VLANs de management.
Communiquer une alerte interne aux équipes SOC, IT et au responsable sécurité.

6-24 heures

Déployer les correctifs sur des environnements de test ou clones avant la production, conformément au bulletin de Fortinet².
Vérifier la signature et l'intégrité des packages de mise à jour avant installation.
Restreindre temporairement les comptes administrateurs (principle of least privilege) et forcer l'authentification multifactorielle si disponible.

24-48 heures

Appliquer les correctifs sur les instances de production, suivre la procédure officielle pour redémarrer les services et valider l'état post-patch².
Surveiller les métriques de performance et le comportement des endpoints pour déceler toute anomalie liée à la mise à jour.
Exécuter des scans d'intégrité et vérifier les configurations critiques.

48-72 heures

Lancer une chasse aux indicateurs de compromission (IoC) : requêtes API non authentifiées, créations/modifications d'utilisateurs administrateurs, tâches de déploiement inconnues, et connexions inhabituelles entre EMS et endpoints.
Récupérer et analyser les logs historiques pour toute activité suspecte antérieure à la mise à jour.
Révoquer et régénérer les clés et certificats qui pourraient avoir été compromis.

Après 72 heures

Réaliser un audit complet de conformité et un post-mortem technique pour documenter les actions, les lacunes et les remédiations nécessaires.
Revoir les politiques déployées et renforcer les contrôles d'accès réseau pour les consoles de management.
Préparer une communication client et juridique si une compromission avec exfiltration est confirmée.

Indicateurs de compromission prioritaires

Création ou élévation d'un compte administrateur sans justification opérationnelle.
Requêtes API pré-authentifiées ou provenant d'adresses IP inconnues.
Tâches de déploiement ou changements de configuration non planifiés.
Trafic anormal entre l'EMS et un grand nombre d'endpoints.

Risques et impacts

Perte de contrôle sur la politique de sécurité des endpoints, entraînant une propagation rapide de réglages dangereux ou de logiciels malveillants.
Coût potentiel de remédiation sur grande échelle : pour un parc de 10 000 postes, les frais peuvent dépasser six chiffres en euros, incluant heures-hommes, communication et perte d'activité (estimation basée sur coûts moyens d'incident)⁴.
En cas d'exfiltration de données personnelles, obligations de notification et risques de sanctions sous le RGPD.

Recommandations opérationnelles supplémentaires

Isoler les consoles de management sur des réseaux dédiés et limiter l'accès via bastion ou jump-host.
Mettre en place une surveillance renforcée des appels API via SIEM et corréler avec alertes EDR.
Déployer une détection basée sur l'intégrité des configurations et des packages.
Appliquer le principe du moindre privilège sur tous les comptes EMS et mettre en place une rotation régulière des secrets.
Effectuer des exercices de réponse à incident et mettre à jour les playbooks avec les IoC collectés.

Contexte et éléments de référence

FortiClient EMS est une console de gestion centralisée fréquemment utilisée pour appliquer des politiques aux agents FortiClient. Une compromission de cette brique critique menace la sécurité de l'ensemble des endpoints gérés. Fortinet a publié des correctifs et des instructions techniques détaillées pour corriger CVE-2026-35616², et plusieurs sources signalent une exploitation active, ce qui a motivé l'alerte et l'inscription dans le catalogue des vulnérabilités exploitées connues³. Des comptes-rendus de presse ont également documenté des campagnes exploitant cette faille¹.

Vérification post-incident et communication

Ne vous contentez pas d'appliquer un patch et d'oublier. Menez une enquête complète : collectez les logs des EMS, des serveurs d'administration et des endpoints, conservez des copies immuables pour l'analyse forensique, et corrélez les événements avec le SIEM et les solutions EDR. Si la compromission implique des données personnelles, prévenez le service juridique pour évaluer les obligations de notification selon le RGPD et préparer les communications externes.

Questions fréquentes

Quels produits Fortinet sont affectés par CVE-2026-35616 ?

CVE-2026-35616 affecte FortiClient EMS, la console de gestion centralisée pour les agents FortiClient. Les versions impactées et les correctifs sont listés dans l'avis de sécurité PSIRT de Fortinet ; vérifiez immédiatement votre inventaire et appliquez les mises à jour recommandées².

Un attaquant peut-il compromettre des endpoints si la console EMS est vulnérable ?

Oui. Une console EMS compromise peut être utilisée pour pousser des configurations malveillantes, déployer logiciels ou désactiver protections sur des endpoints gérés, entraînant des compromis à grande échelle et des campagnes d'exfiltration ou de ransomware.

Que faire si je ne peux pas patcher toutes mes instances immédiatement ?

Restreindre l'accès réseau aux consoles EMS (ACL, bastion), réduire les privilèges administrateurs, activer une surveillance renforcée des logs et créer des règles SIEM/EDR ciblant les appels API anormaux. Isoler les instances exposées à Internet et appliquer des compensations réseau jusqu'au déploiement des correctifs.

Comment détecter une exploitation antérieure ?

Cherchez des requêtes API non authentifiées, créations/modifications d'utilisateurs administrateurs, tâches de déploiement inconnues et trafic inhabituel entre EMS et endpoints. Récupérez les logs historiques et corrélez avec alertes EDR et SIEM pour identifier des signes d'exploitation¹ ³.

Dois-je notifier des tiers si une exploitation est confirmée ?

Si l'incident implique l'exfiltration de données personnelles, des obligations de notification au titre du RGPD peuvent s'appliquer. Impliquez immédiatement le service juridique pour déterminer les obligations nationales et préparer les notifications réglementaires et clientèles.