Avis de sécurité Fortinet du 09 janvier 2024

Emission de plusieurs avis de sécurité de Fortinet le 09 janvier 2024

Fortinet corrige de multiples vulnérabilités dans ses produits FortiPortal, FortiVoice, FortiPAM et FortiOS.  Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Vulnérabilités dans FortiPortal :

FortiPortal – Création de compte en dehors de l’IdP initial. Une vulnérabilité de gestion inappropriée des privilèges [CWE-269] dans FortiPortal peut permettre à un attaquant distant et authentifié d’ajouter des utilisateurs en dehors de son IdP initial.

FortiPortal – Contrôle d’accès insuffisant sur les points de terminaison de l’API. Une vulnérabilité de contournement d’autorisation via une clé contrôlée par l’utilisateur [CWE-639] affectant FortiPortal peut permettre à un utilisateur authentifié à distance avec au moins des autorisations en lecture seule d’accéder aux points de terminaison d’autres organisations via des requêtes GET spécialement conçues.

Vulnérabilité dans FortiVoice :

FortiVoice – Vulnérabilité de traversée de chemin dans l’interface d’administration. Une limitation inappropriée d’un nom de chemin vers une vulnérabilité de répertoire restreint (« traversée de chemin ») [CWE-22] dans FortiVoice peut permettre à un attaquant authentifié de lire des fichiers arbitraires du système via l’envoi de requêtes HTTP ou HTTPS contrefaites.

Vulnérabilité dans FortiPAM :

FortiPAM – Manque de contrôle de débit pour se protéger contre les attaques DoS. Une allocation de ressources sans limites ni vulnérabilité de limitation [CWE-770] dans FortiPAM peut permettre à un attaquant authentifié d’effectuer une attaque de déni de service en envoyant des requêtes HTTP ou HTTPS contrefaites à haute fréquence.

Vulnérabilité dans FortiOS et FortiProxy :

FortiOS et FortiProxy – Autorisation incorrecte pour les requêtes HA. Une vulnérabilité de gestion inappropriée des privilèges [CWE-269] dans un cluster FortiOS et FortiProxy HA peut permettre à un attaquant authentifié d’effectuer des actions élevées via des requêtes HTTP ou HTTPS contrefaites.

Attaques OpenSSH Terrapin :

CVE-2023-48795. Le protocole de transport SSH avec certaines extensions OpenSSH, trouvé dans OpenSSH avant 9.6 et d’autres produits, permet aux attaquants distants de contourner les contrôles d’intégrité de sorte que certains paquets soient omis (du message de négociation d’extension), et qu’un client et un serveur puissent se retrouve par conséquent avec une connexion pour laquelle certaines fonctionnalités de sécurité ont été dégradées ou désactivées.


Secure Shell (SSH) est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Par la suite, tous les segments TCP sont authentifiés et chiffrés. 


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


La confidentialité en informatique est un principe fondamental qui garantit la protection des données personnelles des utilisateurs. Elle implique que les informations sensibles soient accessibles uniquement aux personnes autorisées. Avec la prolifération des plateformes en ligne et des appareils connectés, la préservation de la confidentialité devient cruciale.

Les technologies telles que le chiffrement des données et les pare-feu jouent un rôle essentiel dans cette protection. Cependant, des préoccupations persistent concernant la collecte excessive de données par les entreprises et les gouvernements, mettant en péril la vie privée des individus. Ainsi, il est impératif de mettre en place des réglementations strictes et des pratiques de sécurité robustes pour préserver la confidentialité des données dans le monde numérique.

La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données.

De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source


La politique de sécurité informatique, essentielle à l'ère numérique, vise à protéger les systèmes, réseaux et données contre les menaces en ligne. Elle établit des directives pour gérer les risques, mettre en place des mesures de prévention et de détection des intrusions, ainsi que des protocoles de réponse en cas d'incidents. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation.

Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.

En promouvant la sensibilisation, la formation et la conformité aux normes de sécurité, une politique efficace renforce la résilience des organisations face aux cyberattaques, garantissant la confidentialité, l'intégrité et la disponibilité des informations cruciales.


Fortinet est une multinationale américaine dont le siège social se situe à Sunnyvale. Elle conçoit et commercialise, entre autres, des logiciels, équipements et services de cybersécurité tels que des pare-feux, anti-virus, systèmes de prévention d’intrusion et de sécurité des terminaux. La Fortinet Security Fabric réunit les concepts de convergence et de consolidation afin de fournir une protection complète en matière de cybersécurité pour l'ensemble des utilisateurs, des appareils et des applications, et ce, sur toutes les périphéries de réseau.

Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

A propos de l'auteur

Retour en haut