Bernard Montel (RSA) "Nous avons été victimes d'une menace persistante avancée"

Mode opératoire, conséquences, enjeux : la filiale de RSA spécialisée dans l'authentification forte revient en détails sur l'attaque et la fuite de données dont elle a été victime.

JDNSolutions. SecurID, la filiale dédiée aux tokens de RSA, a été victime d'une attaque en avril. Que s'est-il passé exactement ? 

Benard Montel. Le17 mars, RSA a reconnu publiquement, par la voix de son président Arthur W. Coviello, avoir été victime d'une intrusion au sein de son système d'information. Le 1er avril, Uri Rivner, responsable de l'innovation et de la protection de nos clients, a ensuite précisément détaillé l'attaque que l'on peut qualifier de menace persistante avancée. Nous avons donc été le plus transparent possible.

L'attaque s'est basée sur une faille Adobe, alors 0-Day et sur l'ingénierie sociale. Le code malicieux était caché dans une pièce jointe de format Excel. Elle était intitulée  "Recruitment plan.xls" (ou "plan de recrutement 2011"). Il y a bien eu des failles humaines lors de l'attaque.

L'attaque, que l'on peut qualifier de menace persistante avancée (ou APT, pour Advanced Persistent Threat) visait bien précisément SecureID. Notre laboratoire spécialisé dans l'étude des menaces a pu analyser l'attaque. Nous avons des éléments prouvant que l'attaque ciblait non pas RSA mais précisément le département SecurID.

"Le nombre de malwares explose et les attaques deviennent de plus en plus ciblées"

Nous avons ensuite pu la détecter et avertir nos clients. Cependant, et c'est essentiel de bien le préciser, l'attaque n'a pas rendu les technologies de securID obsolètes. Nous ne les avons d'ailleurs pas mises à jour, comme a par exemple dû le faire Adobe avec son Reader.

Par ailleurs, EMC compte près de 55 000 employés. 90% d'entre eux utilisent les tokens de SecurID. Aucun d'eux n'a dû changer ses tokens. Seul le code PIN a été changé, par pure précaution. Nous avons d'ailleurs demandé de faire de même à nos clients. Nous avons également incité nos clients, aussi par excès de prudence, à bien analyser les éventuelles tentatives d'accès dans leurs journaux d'activités. De telles recommandations peuvent éventuellement faire peur, mais nous nous devions de les faire sinon EMC se serait vu reprocher de ne pas être assez prudent.

EMC a juste après annoncé acquérir NetWitness, éditeur spécialisé dans la surveillance et l'analyse des attaques. Soit des outils qui auraient pu être très utiles à RSA dans le cadre de cette attaque. Y a-t-il un lien entre l'attaque et l'acquisition ?

Bien sûr que non. Une telle acquisition ne se réalise pas en quelques jours. La concomitance des deux actualités est le pur fruit du hasard. Nous étions plusieurs à connaître le projet d'acquisition, et sans connaitre le nom de la société, nous savions quelle était son domaine d'activité. Il s'agissait bien de NetWitness.

Les attaques visant les très grandes sociétés se multiplient ces derniers temps. Que vous inspire la spectaculaire fuite de donnée chez Sony ?

En tant que fournisseur de solution de sécurité, nous ne sommes pas mal placés pour bien constater le durcissement des attaques actuellement. Le nombre de malware explose. Les attaques deviennent de plus en plus ciblées : il ne s'agit plus de piéger le maximum de personnes avec un trojan bancaire pour faire un botnet géant, mais plutôt de cibler précisément une société. Ce n'est plus le même raisonnement. Hier RSA en a été victime, aujourd'hui Sony... D'ailleurs, une semaine après l'attaque dont a été victime RSA en surgissait une autre, tout aussi ciblée, celle de Comodo.

Par ailleurs, RSA a déjà découvert le piratage de centaines de milliers d'identifiants bancaires en ligne. Ce fut notamment le cas lors de notre lutte contre le botnet Sinowall en 2008 : notre division anti-fraude a permis de découvrir qu'un demi-million de comptes bancaires en ligne avait pu être subtilisés par le botnet.

En outre, nous avons également travaillé sur d'autres attaques liées à Adobe. Les site de CNN et de 20 minutes, en Suisse, ont ainsi été piégés car ils avait été pollués par une fausse demande de mise à jour de logiciel d'Adobe...

Bernard Montel est directeur technique de RSA en France depuis 2009. Il a intégré RSA (division sécurité d'EMC) en 2000 en tant que ingénieur avant vente, en 2003 il est devient Manager des équipes avant vente. Avant d'intégrer RSA, Bernard a travaillé pour Control Data  et Astek respectivement en tant que consultant et ingénieur.