Deux groupes identifiés impliqués dans le piratage de RSA

Le président de la filiale d'EMC commercialisant les jetons SecurId a donné plus de précisions sur l'attaque subie en mars dernier. Pour RSA c'est clair, l'attaque a été parrainée par un Etat.

L'enquête sur l'une des attaques les plus marquantes de 2011 avance. Lors de la conférence RSA qui se tient actuellement à Londres, le président de RSA Tom Heiser a donné de nouveaux détails sur l'attaque "très sophistiquée" subie en mars dernier par SecurID, qui commercialise des tokens utilisés par plus de 40 millions de personnes dans le monde. A en croire les enquêtes menées par la filiale d'EMC, qui s'est entre autres fait aider par le FBI et l'équivalent américain du ministère de l'Intérieur, deux groupes de pirates seraient responsables de l'attaque.

Le président exécutif d'EMC Art Coviello a refusé d'identifier publiquement ces groupes, mais a déclaré qu'en raison de la sophistication de l'intrusion, il ne pouvait s'agir que "d'une attaque parrainée par un Etat". Tom Heiser a précisé que les deux groupes étaient connus des autorités avant cette attaque, même s'ils n'étaient pas connus pour travailler ensemble.

Il semble que les pirates aient eu accès au système informatique interne de RSA en envoyant à certains salariés du département RH  un mail contenant un document Excel piégé et exploitant une vulnérabilité alors 0 Day, d'Adobe. Les pirates semblent également avoir montré qu'ils connaissaient en détail certaines pratiques internes, notamment concernant l'usage de l'Active Directory, ce qui a ensuite pu donner une légitimité à leur action à l'intérieur du système de RSA.

Tom Heiser a expliqué que différents logiciels malveillants avaient été utilisés, dont certains compilés quelques heures à peine avant l'attaque. Les informations volées ont ensuite été compressées et chiffrées  avant d'être exfiltrées, les rendant plus difficiles à identifier.

Art Coviello a bien admis que les informations dérobées étaient "importantes", mais RSA se refuse jusqu'à présent à en dire plus. Il a cependant bien précisé qu'une seule société, du secteur de la défense, avait été attaquée en essayant d'utiliser les informations dérobées à SecurID. L'attaque a finalement échoué. Trois sociétés sont soupçonnées d'avoir été menacées par la fuite de données de RSA : Lockheed Martin, L-3 et Northrop Grumman.

EMC / Pirate