Toute personne intéressée par les problématiques de sécurité (de l'information), a entendu parler ou entendra un jour parler des conférences RSA (RSA Conference). Si l'actualité ne la mettait pas en lumière ces derniers jours, on aurait tendance à oublier que RSA est la division sécurité d'EMC commercialisant, entre autre, un système mondialement réputé (et répandu) d'authentification forte par token, SecurID. Les utilisateurs de cette solution se comptent en dizaines de millions.
C'est ce produit qui semble avoir été particulièrement ciblé par une attaque sophistiquée de type APT (Advanced Persistent Threat), révélée la semaine dernière par Art Coviello, le directeur de RSA, dans une lettre où la transparence le dispute à la confiance dans un produit "qu'il_est_super_et_qui_continue_à_l'être".
Tout d'abord, notons le "ton" calme, professionnel et pour tout dire rassurant d'Art Coviello. Dans le fond, impossible de connaître la gravité du risque mais l'on sait que RSA a confiance dans son produit et que les équipes sont mobilisées. Un (énorme) bémol cependant quand je lis "Nous sommes convaincus que les informations extraites ne permettent pas une attaque réussie directement sur l'un de nos clients RSA SecurID".
Question : si ce n'est pas directement, est-ce qu'une attaque peut réussir indirectement ?
"Ces informations pourraient être utilisées pour réduire l'efficacité d'une mise en œuvre d'authentification à deux facteurs en cours dans le cadre d'un vaste attaque".
Réponse : malheureusement on sent bien que la belle confiance affichée en toute "transparence" est bien de l'ordre de la méthode Coué.
Un dernier mot sur la partie technique de l'attaque : elle a réclamé beaucoup de patience, de savoir(s)-faire et de ressources (compétences et financières). C'est donc le marqueur d'une attaque professionnelle menée par des personnes ayant des objectifs précis...ou une commande précise.
Edit : sur ce dernier point, il faut lire l'hypothèse du lien avec la directive FFIEC. C'est loin d'être idiot !
Edit : sur ce dernier point, il faut lire l'hypothèse du lien avec la directive FFIEC. C'est loin d'être idiot !
L'attaque ayant réussi, pourquoi alors l'avoir communiquée ? Une théorie intéressante est que l'affaire HBGary/Anonymous a marqué les esprits et qu'il vaut mieux prendre les devants afin de piloter la communication. Communication ou pas, rien qu'en France, l'Education nationale utilise SecurID pour la saisie des notes et à travers le monde, ce sont des sites de banque à distance. Souhaitons qu'Art Coviello ait raison et que l'un de mes prochains billets ne traite pas d'une attaque reliée directement à cette affaire ! En attendant, le lecteur attentif ira lire le (bon) billet sur le même sujet publié ce matin par Sid.
PS : à propos des APT, je me permets la reproduction d'un de mes échanges avec Nico "News0ft", histoire d'illustrer le recyclage marketing de cet acronyme. "Quant aux "APT", ça existe bel et bien ... mais ce sont juste des "gens" qui font du test d'intrusion récurrent sans l'accord du client et sans aucun cadre déontologique ... et ça donne les mêmes résultats qu'un test d'intrusion classique: 100% de succès".
Aucun commentaire:
Enregistrer un commentaire