En cybersécurité, le firewall occupe une position paradoxale : c'est à la fois la première ligne de défense du réseau et l'une des surfaces d'attaque les plus ciblées par les groupes APT et les opérateurs de ransomware. Les grandes failles de 2024-2025 — notamment chez Fortinet et Sophos — l'illustrent avec une brutalité rare : des dizaines de milliers de pare-feux exposés sur Internet ont été compromis, parfois des semaines avant que les éditeurs publient leurs correctifs.
Cet article analyse les vulnérabilités les plus graves documentées, leurs mécanismes réels, leur impact et — surtout — ce qu'elles révèlent sur la conception des firewalls modernes et les critères à retenir pour sécuriser un réseau d'entreprise au Maroc.
CVE-2024-21762 : 150 000 firewalls Fortinet ouverts à une exécution de code à distance
Le 9 février 2024, la CISA américaine (Cybersecurity and Infrastructure Security Agency) a ajouté la CVE-2024-21762 à sa liste des vulnérabilités activement exploitées (Known Exploited Vulnerabilities — KEV). La faille, notée CVSS 9.8 sur 10, réside dans le démon SSL VPN de FortiOS (SSLVPNd). Il s'agit d'une écriture hors limites (out-of-bounds write) qui permet à un attaquant non authentifié d'exécuter du code arbitraire sur l'appareil via une requête HTTP malformée.
Concrètement : un attaquant atteignant l'interface SSL VPN exposée sur Internet peut prendre le contrôle complet du firewall — sans aucun identifiant, sans aucune interaction côté victime. Une fois le pare-feu compromis, il dispose d'un point d'entrée central sur l'ensemble du réseau interne de l'entreprise.
"A critical out-of-bounds write vulnerability in FortiOS SSLVPNd that could allow a remote unauthenticated attacker to execute arbitrary code or commands via specially crafted HTTP requests."
— Fortinet PSIRT / NVD NIST, CVE-2024-21762 — nvd.nist.gov
L'ampleur de l'exposition a été documentée par Security Affairs : au moment de la divulgation, plus de 150 000 appareils FortiGate exposés sur Internet étaient potentiellement vulnérables. Un mois plus tard, en mars 2024, The Register rapportait que 133 000 dispositifs restaient non corrigés — malgré la disponibilité des correctifs Fortinet depuis plusieurs semaines. C'est ce délai de patch, inévitable en production, qui transforme une faille critique en catastrophe opérationnelle.
CVE-2024-55591 et CVE-2025-24472 : deux zero-days d'authentification en série
Si CVE-2024-21762 a été la faille la plus médiatisée du premier semestre 2024, les mois suivants ont révélé un schéma encore plus inquiétant : des contournements d'authentification exploités avant que Fortinet n'en soit informé.
CVE-2024-55591 : super-admin sans mot de passe depuis novembre 2024
La CVE-2024-55591 affecte FortiOS versions 7.0.0 à 7.0.16 et FortiProxy 7.0.x/7.2.x. La faille (CVSS 9.8) exploite le module websocket Node.js pour contourner l'authentification et obtenir des droits super-administrateur via des requêtes crafted — sans connaître un seul identifiant.
Ce qui distingue cette vulnérabilité : elle a été activement exploitée depuis mi-novembre 2024, soit deux mois avant sa divulgation publique par Fortinet le 14 janvier 2025. La société Arctic Wolf a documenté des intrusions survenues avant la publication de l'advisory, au cours desquelles les attaquants ont :
- Créé des comptes administrateurs non autorisés sur les FortiGate compromis
- Modifié des règles de firewall et des tunnels SSL VPN pour maintenir l'accès
- Exfiltré des identifiants de connexion depuis les fichiers de configuration
Selon Censys et Picus Security, environ 50 000 appareils Fortinet exposés sur Internet étaient concernés au moment de la divulgation. La faille a été ajoutée au catalogue KEV de la CISA.
CVE-2025-24472 : même vecteur, campagnes de ransomware confirmées
Quelques semaines plus tard, Fortinet a publié l'advisory relatif à la CVE-2025-24472 — une troisième vulnérabilité de contournement d'authentification (CWE-288) dans FortiOS et FortiProxy. Cette fois, l'attaquant exploite le canal CSF (Cluster Synchronization Framework) : en fournissant les numéros de série d'appareils membres d'un Security Fabric — information non secrète — il obtient des droits super-administrateur sans aucun identifiant.
La CISA a ajouté CVE-2025-24472 à son catalogue KEV en confirmant son exploitation active dans des campagnes de ransomware. L'advisory Fortinet est disponible à l'adresse FG-IR-24-535.
Trois CVE critiques (CVSS ≥ 9.8) ciblant des mécanismes d'authentification, en moins de 18 mois, toutes exploitées activement : la surface d'attaque des firewalls FortiGate exposés sur Internet est structurellement préoccupante.
Sophos Firewall : trois CVE critiques en décembre 2024
En décembre 2024, Sophos a publié l'advisory de sécurité sophos-sa-20241219-sfos-rce corrigeant trois vulnérabilités indépendantes dans Sophos Firewall (SFOS), toutes notées CVSS 9.8.
CVE-2024-12727 : injection SQL pré-authentification dans la protection email
Une injection SQL pré-authentification dans la fonctionnalité de protection email de Sophos Firewall, présente uniquement lorsque SPX (Secure PDF eXchange) est activé conjointement avec le mode Haute Disponibilité (HA). Elle peut conduire à une exécution de code à distance (RCE) sur l'appareil. Sophos précise dans son advisory que cette configuration spécifique ne concerne qu'environ 0,05 % des appareils déployés. Le hotfix a été publié le 17 décembre 2024.
CVE-2024-12728 : passphrase SSH prévisible en mode HA
Dans les clusters Haute Disponibilité Sophos, la passphrase SSH utilisée lors de l'initialisation du cluster reste active après la mise en place du HA et n'est pas aléatoire. Si SSH est activé sur l'interface exposée, un compte système privilégié devient accessible.
"A suggested and non-random SSH login passphrase for HA cluster initialization remaining active after the HA establishment process is completed, which could expose a privileged system account on the Sophos Firewall if SSH is enabled."
— Sophos Security Advisory, sophos-sa-20241219-sfos-rce, CVE-2024-12728
Le hotfix CVE-2024-12728 a été déployé dès le 26 novembre 2024. Sophos indique ne pas avoir observé d'exploitation active de ces failles au moment de leur divulgation — contrairement aux cas Fortinet, où l'exploitation précédait la divulgation.
Ce que ces failles révèlent sur les architectures firewall actuelles
L'analyse de ces cinq CVE critiques met en évidence des problèmes structurels récurrents :
- Surface d'attaque exposée par défaut : SSL VPN, interfaces de gestion web, modules websocket et canaux de synchronisation accessibles depuis l'Internet public sans cloisonnement.
- Délai de patch incompressible : même avec un patch disponible, la mise à jour firmware d'un firewall de production est souvent différée. 133 000 FortiGate non patchés un mois après la publication d'une faille CVSS 9.8 — c'est une réalité opérationnelle, pas une exception.
- Fenêtre zero-day non nulle : CVE-2024-55591 a été exploitée deux mois avant sa divulgation. L'exposition existe indépendamment de la rigueur de la politique de mise à jour.
- L'authentification comme talon d'Achille : trois des cinq CVE analysées ciblent directement des mécanismes d'authentification — non pas des fonctionnalités périphériques, mais le verrou principal du pare-feu.
WatchGuard Firebox : une architecture qui réduit structurellement la surface d'attaque
Ces constats posent la question des critères de sélection d'un pare-feu d'entreprise. La question n'est pas uniquement "quel firewall bloque le plus de menaces aujourd'hui ?" mais "comment ce firewall se comportera-t-il lorsqu'une vulnérabilité inconnue sera découverte dans son firmware ?"
La gamme WatchGuard Firebox est conçue autour de plusieurs principes qui limitent la fenêtre d'exposition :
- Interface de gestion non exposée par défaut : l'accès à l'interface d'administration du Firebox est désactivé sur les interfaces WAN par défaut. L'exposition de la surface de gestion résulte d'un choix explicite de l'administrateur, pas d'une configuration par défaut risquée.
- Mises à jour centralisées via WatchGuard Cloud : les mises à jour Fireware OS sont orchestrées depuis la console cloud avec planification des fenêtres de maintenance. Sur un parc de 10 à 200 Firebox, le déploiement d'un correctif critique est une opération planifiée en quelques minutes — pas un projet de migration firmware sur plusieurs semaines.
- ThreatSync XDR pour la détection post-intrusion : ThreatSync corrèle en temps réel les événements détectés par le Firebox avec les données des endpoints (EPDR/WatchGuard EDR). Si un attaquant exploite une vulnérabilité zero-day pour traverser le périmètre, ThreatSync peut identifier les mouvements latéraux anormaux sur le réseau interne avant que la compromission ne s'étende.
- Suite UTM intégrée nativement : IPS, APT Blocker, IntelligentAV (détection comportementale par IA), DNSWatch, WebBlocker et filtrage applicatif font partie de Fireware OS — aucun composant tiers n'introduit une surface d'attaque additionnelle.
Pour les entreprises avec des volumes de trafic et des architectures plus complexes, la gamme Firebox M-series monte jusqu'à 87 Gbps de débit UTM et répond aux besoins des sièges sociaux, des opérateurs et des environnements multi-DMZ.
Checklist : évaluer un firewall avant de l'acheter
Au-delà des spécifications marketing, voici les critères techniques à vérifier systématiquement :
- ✅ Cadence de publication des patches de sécurité : l'éditeur dispose-t-il d'un PSIRT actif publiant des advisories transparents avec des délais de correction documentés ?
- ✅ Interface d'administration non exposée par défaut : le firewall bloque-t-il l'accès à sa propre console de gestion depuis les interfaces WAN sans configuration manuelle ?
- ✅ Gestion centralisée des mises à jour firmware : peut-on déployer un patch sur un parc de firewalls distribués en quelques minutes, avec rollback possible ?
- ✅ Visibilité post-intrusion : si le périmètre est contourné, quels outils permettent de détecter les mouvements latéraux ? Le firewall s'intègre-t-il avec des solutions EDR/XDR ?
- ✅ Abonnements de sécurité actifs : un firewall sans abonnement UTM actif ne reçoit plus les signatures IPS, les définitions antivirus ni les mises à jour APT. C'est l'équivalent d'un antivirus sans mise à jour de base de données.
- ✅ Partenaire local certifié au Maroc : qui assure la configuration initiale, la maintenance proactive et l'intervention en cas d'incident sur site ?
UBSM : partenaire WatchGuard certifié au Maroc
UBSM déploie et maintient des solutions WatchGuard Firebox pour des PME, hôtels, cliniques et entreprises multi-sites dans tout le Maroc — Casablanca, Rabat, Marrakech, Tanger, Agadir et les villes régionales. Chaque projet commence par une analyse des flux réseau et des exigences de sécurité, pour sélectionner le modèle Firebox adapté et activer les services UTM pertinents.
Les mises à jour Fireware OS, la supervision des alertes via WatchGuard Cloud et les rapports mensuels de visibilité réseau sont inclus dans nos contrats. En cas de publication d'un advisory critique, nos équipes évaluent l'impact sur vos appareils et planifient le déploiement du correctif dans les 48h.
