L'e-mail qui a piégé RSA et SecurID retrouvé ?

Un expert de F-Secure explique comment il a retrouvé le fameux message, qui s'avère peu sophistiqué et de facture assez classique. Il détaille le scénario du piratage.

"Je vous transmets ce dossier pour votre information. S'il vous plaît, ouvrez-le", ("I forward this file to you for review. Please open and view it", en version originale) : tel serait l'email piégé qu'un employé d'EMC aurait découvert dans ses spams avant d'en ouvrir la pièce jointe : un fichier Excel (nommée "2011 Recruitment plan.xls"). Ce dernier étant dessiné ensuite pour exploiter une faille 0 day dans Adobe Flash. C'est du moins ce qu'affirme un chercheur de F-Secure, Timo Hirvonen, qui pense donc avoir mis la main sur l'e-mail qui a mis à genoux une des société de sécurité informatique les plus connues au monde : RSA, et sa filiale dédié aux tokens (SecurID).

L'e-mail a été retrouvé car il a été soumis en mars dernier au site VirusTotal, connu pour sa capacité à détecter les malwares. C'est également en mars que RSA a été piraté, via cette faille Adobe depuis corrigée (CVE-2011-0609), et un trojan déjà bien connu (backdoor Poison Ivy), détaille l'expert de F-Secure. Les informations dérobées auraient ensuite transitées sur un des serveurs de good.mincesur.com.

L'e-mail aurait été envoyé aux employés du département des ressources humaines d'EMC, et faisait croire qu'il venait de webmaster@beyond.com : une adresse générique utilisée dans le passé par EMC. F-Secure pense que deux emails piégés ciblés ont été envoyés à EMC dans le cadre de cette attaque, décrite comme une menace persistante avancée par le groupe (lire le dossier sur les nouvelles menaces, et l'interview du directeur technique de RSA sur le sujet).

RSA n'a pas confirmé les affirmations de F-Secure. La filiale d'EMC n'a d'ailleurs jamais détaillé les informations subtilisées par les pirates.