Fortinet vient de publier un avis de sécurité confirmant l’exploitation active d’une vieille faille patchée… depuis 2020. En cause, une combinaison de réglages LDAP et une gestion imparfaite de la casse des noms d’utilisateur.
Une marque à la réputation surfaite, avec des produits très chers et, le pire, il faut payer un abonnement pour avoir ses propres logs et pour chaque client VPN (VPN qui, de plus, est plein de failles et attaqué sans cesse par des russes).
Au vu du nombre de fausses informations de votre post (log gratuit 7jours, client vpn gratuit) un bon ROI quand on compare objectivement), on se demande qui est russe dans l’histoire…
Je vois toute la journée passer des attaques spécifiques russes ciblant le vpn Fortinet dans ma console Crowdsec, il y a des failles de sécurité critique tous les ans, donc les utilisateurs sont forcés de souscrire les abonnements.
Ta réflexion vient d’un fanboy qui aime la marque Fortinet plus que la sécurité de son réseau.
Fortinet leur problème c’est leur système de jeton FortiToken sur téléphone.
Il n’est pas standard et surtout on ne peut pas le transférer même en ayant garder le mail.
Ca oblige à devoir contacter un admin chaque fois qu’on change de téléphone ou le réinitialise, pas très pratique pour ceux qui n’ont qu’un téléphone perso.
il existe la fontion tranfert Token dans l’application qui permet de gérer ce cas d’usage, en toute autonomie
tous les vpn sont ciblés (cf advisory des autres contruscteur) et les failles de sécurité bien que regretables sont légions meme chez les meilleurs dev, (Microsoft, ~100 CVE/mois, Apple IOS, Google Chrome & Android ( + 20 / mois) ,etc… Donc faire du Fortinet bashing ne sert à rien et j’espere que votre posture de sécurité ne se limite pas à l’utilisation ou non de tel ou tel constructeur (genre laisser son admin https en direct sur Internet)
Sauf qu’elle ne marche pas. Elle affiche un message qui dit que ce n’est pas possible transférable.
[https://www.clubic.com/actualite-593611-faille-2fa-dans-fortigate-plus-de-10-000-pare-feu-encore-menaces-malgre-la-nouvelle-alerte-de-fortinet.html]
(https://www.clubic.com/actualite-593611-faille-2fa-dans-fortigate-plus-de-10-000-pare-feu-encore-menaces-malgre-la-nouvelle-alerte-de-fortinet.html)
C’est pas du bashing, c’est juste la réalité…