Fuite des données de RSA SecurID : tout a commencé par du phishing ciblé

L’attaque dont a été victime RSA, la division sécurité d’EMC, a commencé par deux vagues de phishing ciblées utilisant une pièce jointe Excel exploitant elle-même une faille zero-day de Flash.

Les attaques de phishing ont duré deux jours et ont visé deux petits groupes d’employés lambda de RSA. Les attaquants sont parvenus à tromper la vigilance d’au moins un employé qui a récupéré le courriel piégé dans sa boîte à pourriels et ouvert le fichier Excel intitulé «2011 Recruitement plan.xls». De fil en aiguille, les attaquants ont progressé dans le SI de RSA pour finalement accéder à des systèmes critiques. Un système de détection avancée NetWitness a découvert l’anomalie, alertant les équipes de gestion des incidents alors même que l’attaque était en cours, mais pas avant que les attaquants n'aient exfiltré les données relatives aux produits d’authentification forte SecurID.

Uri Rivner, directeur des technologies, de la protection d’identité et de sa vérification chez RSA, a diffusé les premiers détails sur cette opération dès le 22 mars, lorsque l’entreprise a alerté ses clients.

Selon les détails communiqués la semaine dernière, les attaquants ont installé une porte dérobée ainsi qu’une variante de l’outil d’administration à distance Poison Ivy, afin de pouvoir oeuvrer via un serveur de contrôle à distance et de parcourir les systèmes sensibles de RSA. Une fois à l’intérieur, les attaquants ont pu explorer les machines de leurs victimes, le réseau et ses ressources, pour chercher une voie vers les informations qu’ils cherchaient, a expliqué Rivner.

«Les attaquants ont d’abord récupéré les codes d’accès des utilisateurs compromis,» a indiqué Rivner. «Ils ont procédé à une escalade de privilèges sur des utilisateurs sans droits d’administration sur les systèmes visés, puis ont avancé pour accéder à des cibles de plus grande valeur, dont les experts des processus et les administrateurs de serveurs IT et métiers.»

Une fois que les attaquants ont récupéré les données des serveurs visés, ils les ont déplacées sur «des serveurs internes où les données ont été consolidées, compressées et chiffrées avant leur extraction,» a précisé Rivner. Les données ont alors été transférées par FTP au sein de fichiers RAR protégés par mot de passe, sur un hôte externe également compromis. De là, les fichiers ont pu être supprimés pour effacer les traces de l’effraction. 

RSA mal préparé à ce genre d'attaque

Mais bien que le système de supervision de réseau de RSA, NetWitness, ait détecté l’attaque, l’entreprise a pêché par l’absence de processus pour ré-authentifier les utilisateurs suspects, souligne Avivah Litan, vice-président de Gartner. Lors d’un entretien accordé à SearchSecurity.com, Litan a expliqué que d’autres entreprises sont parvenues à stopper ce genre d’attaque en déployant des défenses multi-couches. Par exemple, de nombreuses entreprises du secteur des services financiers utilisent des technologies de navigation Web sécurisée pour superviser les interactions des utilisateurs finaux avec les sites Web tiers, en plus de systèmes de supervision du réseau interne, relève Litan.

«Le point important, c’est que ces attaques peuvent être stoppées et qu’elles ont déjà été stoppées par d’autres entreprises mieux préparées,» indique-t-il. «Il y avait un comportement d’utilisateur final anormal, que [RSA] a détecté. Mais ils n’avaient les processus permettant de le stopper.»

Jon Oltsik, analyste principal chez Enterprise Strategy Group, un cabinet de conseil installé à Milford, au Massachusetts, qui a également été briefé par RSA sur cette attaque, s’inquiète de ce que les technologies de sécurité actuelles échouent à protéger contre des attaques intuitives basées sur l’ingénierie sociale. «À peu près n’importe qui peut en être victime à tout moment,» relève-t-il, ajoutant qu’il faudra probablement un incident majeur tel qu’une longue coupure d’électricité avant que des progrès notables ne soient faits.

«Nous avons clairement besoin d’améliorer nos technologies. Mais ce n’est pas qu’un problème technologique,» explique Oltsik. «C’est une escroquerie. Les cybercriminels profitent du fait que l’humain accorde facilement sa confiance. On peut déployer toutes les technologies disponibles, il reste facile de duper des gens et de contourner cette technologie.»

La firme reste discrète sur la nature des informations dérobées

RSA a indiqué que ses équipes de gestion des incidents ont été sollicitées pour isoler l’attaque et enquêter sur la fuite. Et qu’en l’espace de 9h, son plan d’action était totalement opérationnel. Les équipes de support et celles d’ingénierie ont informé les clients affectés - des briefings souvent assortis de la signature d’accords de confidentialité - suivant leur niveau d’exposition.

RSA reste muet sur la nature des données relatives à sa technologie d’authentification forte qui ont été effectivement dérobées. Dans le pire des cas, selon Rob Vanderbrink, qui écrivait l’attaque dans le journal du Storm Center de l’institut Sans, les cybercriminels pourraient avoir «obtenu une liste complète ou partielle de clients, avec clés et numéros de série.» Les numéros de série sont assignés aux utilisateurs de SecurID par le serveur d’administration RSA SecurID ACE du client. Les clés sont les clés de chiffrement assignées par RSA. Des sources proches de l’enquête se sont également refusées à divulguer des détails, sinon que le système de détection avancée NetWitness a permis à l’entreprise d’éviter que les attaquants «ne vident les coffres de RSA ou de SecurID.»

De Robert Westervelt, SearchSecurity.com. Adapté de l’anglais par la rédaction du MagIT.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close