Bernard Montel (RSA) "L'information volée chez RSA a bien été utilisée par des pirates"

Quelles informations ont été compromises lors de la fuite de donnée de mars ? Que se passe-t-il si les clients de SecurID n'échangent pas leur token ? RSA fait le point après que l'un de ses clients, Lockheed Martin, se soit fait attaqué.

JDN Solutions. Suite aux dernières révélations et notamment au programme de remplacement des tokens de votre service d'authentification forte SecurID, pouvez-vous en dire plus sur la nature des informations dérobées lors de l'attaque de mars dernier, et notamment sur le lien avec l'utilisation de vos tokens ?

Bernard Montel. Tout d'abord, nous tenons à souligner que bien qu'il y ait une couverture presse significative, certaines informations appellent les précisions suivantes : il n'y a pas eu de nouveaux faits qui auraient pu augmenter le risque chez nos clients. RSA confirme que l'application des recommandations est essentielle.

La seule chose qui a changé sur le marché est qu'un client a confirmé que l'information prise chez RSA a été utilisée comme élément d'une attaque plus large contre lui. Une attaque, nous le rappelons, que le client a bloqué et arrêté avec succès. L'attaque sur ce client ne reflète pas une quelconque nouvelle menace ou vulnérabilité dans la technologie RSA SecurID. Ce client reste d'ailleurs un client RSA.

Comme nous l'avons précisé en mars, l'attaque a eu comme conséquence l'extraction d'un certain nombre d'informations des systèmes de RSA, informations liées à notre gamme de produit d'authentification RSA SecurID. Bien que nous considérons que l'information extraite ne peut pas permettre d'attaque directe, elle pourrait être utilisée dans le cadre d'une attaque plus large. 

Nous ne donnerons pas plus de détails sur l'information extraite pour des raisons de sécurité. Nous avons déjà donné nombre de détails sur l'attaque de mars elle même dans nos communications précédentes, et avons également participé à des forums de l'industrie et autres groupes de travail pour partager l'information et collaborer sur de nouvelles approches pour répondre à ce type d'attaques.

Nous continuerons à partager avec nos clients, partenaires et le reste de l'industrie de la sécurité les leçons appropriées apprises de cette attaque.

Nous ne cachons rien qui puisse impacter la sécurité des systèmes de nos clients. Nous avons rappelé les recommandations autour des bonnes pratiques de pour les implémentations SecurID,  proposé un monitoring spécifique, travaillé de manière très étroite avec nos clients pour les aider à auditer si besoin et renforcer leur sécurité de manière plus globale.

"Les faits qui se sont déroulés en mars montrent que la cible était les secrets défenses et la propriété intellectuelle"

Vous échangez actuellement les jetons de vos clients. Que se passe-t-il si ces derniers n'échangent pas leurs tokens ?

En mars nous avons initié un programme de ré-médiation avec nos clients pour renforcer leurs implémentations RSA SecurID et leur sécurité de manière plus globale. Dans le cadre de ce programme nous avons donné un ensemble de recommandations et règles de ré-médiation pour protéger les systèmes clients et les informations qu'ils détiennent.

Nous continuons à penser qu'une organisation cybercriminelle avec les seules informations issues de l'attaque de mars 2011, ne peut pas franchir la barrière OTP chez un client. Il lui faudra recueillir des informations additionnelles et personnelles sur chaque utilisateur.

Dans tous les cas, toute tentative d'attaque sur le réseau d'un client donnerait immédiatement au sein du réseau des signes de comportement ou d'activité anormale qui sont détectables. Les clients pourraient donc prévenir l'intrusion.  Or dès mars, dans notre programme de ré-médiation nous avons transmis aux clients des bonnes pratiques pour avoir cette surveillance du réseau en termes de comportements ou activités.

Le changement de token est un des éléments du programme de ré-médiation. Il est lié à l'appréciation du risque que seul chaque client peut faire, et si ce risque est considéré comme important nous accompagnerons le client dans un plan de remplacement de tokens. 

En effet, nous travaillons avec l'ensemble de nos clients pour comprendre et répondre à leurs caractéristiques métier propres et à implémenter les best practices de ré-médiation selon leur profil de risque. Les faits qui se sont déroulés en mars montrent que la cible  était centrée sur les secrets défenses et la propriété intellectuelle.

C'est pourquoi nous avons déjà travaillé de manière très active avec l'industrie de la défense et les agences gouvernementales pour les aider à implémenter nos recommandations de ré-médiation, y compris changer une partie de leurs tokens.

"Nous continuons à travailler avec nos clients pour les aider à évaluer leur profil de risque"

Où en êtes-vous aujourd'hui ?

Aujourd'hui, le programme de ré-médiation inclut également la possibilité de remplacement de tokens comme nous l'avons déjà fait avec certains clients. Nous offrons par ailleurs d'autres options que le remplacement de tokens matériels, comme par exemple implémenter des stratégies d'authentification basée sur le risque notamment pour les clients ayant une clientèle de consommateurs avec des bases d'utilisateurs très larges et dispersées. C'est typiquement pour protéger les transactions financières effectuées sur internet.

Nous continuons à travailler avec nos clients pour les aider à évaluer leur profil de risque et choisir les options les plus appropriées pour eux. Pour les clients qui considèrent qu'ils n'ont pas la nécessité d'échanger leurs tokens dans l'immédiat et que l'implémentation des best practices de ré-médiation est suffisante pour leur protection, leurs tokens seront renouvelés selon les échéances normales planifiées chez eux, mais ils peuvent bien entendu opter pour toutes les autres possibilités offertes par RSA  à tout moment.  

Nous sommes évidemment préparés et engagés à assurer  la continuité de confiance de nos clients dans RSA SecurID et dans RSA. L'authentification forte avec SecurID n'est pas remise en cause. 

La fuite de données dont a été victime RSA est-elle liée à une ou plusieurs attaques récentes ? Et si oui, lesquelles (Lockheed Martin, FMI, autres) ?

Nous ne commentons aucune attaque possible sur une quelconque entreprise sans son autorisation, qu'elle soit cliente ou pas. En ce qui concerne Lockheed Martin, ils ont publiquement dit que l'information extraite chez RSA était un des éléments utilisés dans une attaque non-réussie récente sur leurs systèmes.

Les cybercriminels sont très actifs actuellement, et ciblent nombre de grandes entreprises mais toutes ces attaques, y compris celle contre le FMI, ne sont pas à relier à RSA.


Bernard Montel est directeur technique de RSA en France depuis 2009. Il a intégré RSA (division sécurité d'EMC) en 2000 en tant qu'ingénieur avant vente. En 2003, il est devient Manager des équipes avant vente. Avant d'intégrer RSA, Bernard Montel a travaillé pour Control Data  et Astek respectivement en tant que consultant et ingénieur.