Les pirates de RSA ont aussi ciblé 750 autres entreprises

Google, VeriSign ou Facebook ont aussi été visés par les mêmes pirates. Le spécialiste en sécurité Brian Krebs diffuse la liste des victimes, mais précise aussi l'origine des attaques.

"Qui d'autres s'est fait attaquer par les pirates de RSA ?", demande l'expert Brian Krebs, sur son blog très suivi dans le domaine de la sécurité informatique. Ce dernier a pu obtenir une liste de sociétés visées par les mêmes pirates qui ont réussi à subtiliser des informations à SecurID en mars dernier.

La liste rassemble en tout pas moins de 750 autres sociétés. Parmi elles figurent de nombreux acteurs du secteur IT : Cisco, eBay, Facebook, Google, IBM, le MIT, Motorola, Novell, Perot Systems, PWC, RIM, Seagate, Unisy, VeriSign ou encore VMWare. Y apparaissent également les services des impôts américains ou des entreprises spécialisées dans la finance comme Wells Fargo, Wachovia, Charles Schwabb, USAA ou Thomson Financial.


Si cet ancien journaliste du Washington Post explique ne pas pouvoir dévoiler ses sources, il explique néanmoins que les réseaux de toutes les entreprises citées ont été visés "avec les mêmes ressources et outils utilisés pour attaquer RSA". Plus précisément, Brian Krebs affirme que les réseaux des entreprises mentionnées ont cherché à dialoguer avec les mêmes infrastructures de contrôle utilisées dans l'attaque de RSA. Par "infrastructures de contrôle", Brian Brebs désigne bien entendu les serveurs ou les réseaux de "commande et de contrôle" dits "C&C".

 

Attaque depuis la Chine


D'ailleurs l'expert diffuse également la liste de ces réseaux de commande et de contrôle utilisés pour coordonner les attaques, et en fait même un graphique indiquant  "que la majorité écrasante de ces C&C sont situés dans ou autour de Pékin, en Chine."

Pour éviter toute mauvaise interprétation, l'expert tient néanmoins à préciser qu'il ne sait pas vraiment "combien de systèmes ou de réseaux ont été compromis dans chaque société". Brian Krebs explique également ne pas savoir si "les attaquants ont réussi à voler des informations sensibles à toutes les victimes listées",  ni pendant combien de temps les réseaux ont été compromis. Cependant, les premières victimes semblent avoir commencé à communiquer avec l'attaquant dès novembre 2010.

 

Brian Krebs signale avoir transmis cette liste aux autorités. Car depuis que la fuite d'informations de RSA a été divulguée, les législateurs du Congrès américain (mais ce ne sont pas les seuls) affichent un regain d'intérêt pour ces menaces persistantes avancées, dont RSA se dit victime. Aidée par le FBI et d'autres organismes, la filiale d'EMC poursuit d'ailleurs encore son investigation sur cette fuite de données qui aura marqué 2011. Les dernières informations diffusées par RSA expliquaient que deux groupes de pirates distincts avaient été impliqués dans l'attaque.

Google / EMC