Lockheed Martin, cible de choix pour une attaque ciblée

L’histoire à des airs de téléfilm américain : un grand champion national de l’aéronautique est la cible de méchants pirates bien résolus à infiltrer son système d’information pour lui voler des secrets industriels. La tension est d’autant plus grande que l’action se déroule, en partie, à environ une demi-heure de voiture du très célèbre Pentagone, centre névralgique de la Défense américaine. Et l’histoire se termine bien : l’offensive est repoussée; la cavalerie arrive et propose son aide. Un vrai Western cybernétique.

Ce samedi 28 mai au soir, l’industriel américain Lockheed Martin a été la cible d’une attaque informatique «significative et tenace ». Une tentative d’infiltration dont on imagine sans peine qu’elle pouvait viser des secrets industriels de grande valeur : spécialiste de l’aéronautique, Lockheed Martin participe au projet de chasseur furtif polyvalent à décollage vertical F-35 (en photo). Entre autres : hélicoptère MH-60R Seahawk, le transporteur MC-130J, mais aussi le satellite Juno ou encore l’atterrisseur martien Phoenix, la mission Grail de la Nasa, pour étudier le champ gravitationnel de la Lune... Les domaines d’activité de l’industriel sont vastes, ses secrets industriels probablement tout autant.

En fait, c’est dès le jeudi 26 mai que Reuters a fait état de la tentative d’intrusion visant l’industriel. L’agence de presse relevant alors que «le premier fournisseur du Pentagone souffre d’une défaillance majeure de son système d’information qui pourrait être liée à un problème de sécurité réseau ». Lockheed Martin a aussitôt averti son client de l’incident et de sa réaction, dont la réinitialisation des mots de passe des utilisateurs. Le président américain, Barack Obama, a lui-même été prévenu. Mais l’attaque a commencé plus tôt : dès le samedi 21 mai, des ralentissements sur le SI de l’entreprise auraient été ressentis, alors que les experts sécurité de l’entreprise auraient commencé à lutter contre l’intrusion. Celle-ci aurait échoué. Ou du moins, selon Lockheed Martin, n’a-t-elle pas conduit à l’exfiltration de données sensibles ni même de données personnelles des collaborateurs de l’entreprise. 

L’opération, dont l’origine reste inconnue, aurait été menée avec l’aide des clés de sécurité SecurID de RSA des utilisateurs du SI. Le 21 mars dernier, l'éditeur avait reconnu dans une lettre ouverte à ses clients qu'une attaque informatique avait permis d’exfiltrer des informations liées à SecurID, une solution token d’authentification forte généralement utilisée pour sécuriser des applications Web où sont réalisées des transactions critiques. Selon les nouveaux détails dévoilés par la firme, l'attaque reposait sur l'exploitation par les pirates d'une faille non corrigée de Adobe Flash Player. RSA avait alors expliqué que les assaillants ont accédé au réseau de l'entreprise via l'envoi d'e-mails ciblés à deux petits groupes d'employés. Ce message renfermait une pièce jointe - un tableau Excel intitulé "2011 Recruitment plan.xls" - qui a été ouverte par un seul employé. Car l'e-mail est tombé dans la boîte spams des outils de courriels, empêchant probablement une attaque plus massive. Cette unique erreur d'un utilisateur isolé avait toutefois suffi aux assaillants : le document Excel renfermait en effet un fichier Flash exploitant la faille zero-day, inconnue à l'époque d'Adobe (donc également de RSA). Une opération associant donc faille toute fraiche et ingénierie sociale. La recette classique d’une APT, ou Advanced Persistant Threat. Et un phénomène que l’on pourrait presque être tenté de considérer comme devenant rapidement banale tant on peut commencer à égrainer les noms des victimes : RSA, Turbomeca, Bercy, Google...

Mais pour certains, à commencer par les experts de NSS Labs, l’attaque de RSA est plus qu’une banale APT : «c’est une opération stratégique visant à récupérer les clés virtuelles des clients de RSA - les gens les plus prudents au monde. Un, sinon plusieurs, clients RSA sont les cibles finales de cette attaque. Des organisations liées à l’armée, au monde de la finance ou au gouvernement, notamment, avec une propriété intellectuelle critique, sont menacées.» Le 17 mars dernier, après les révélations de RSA, NSS Labs prévenait : «nous prévoyons une série d’intrusions retentissantes». Manifestement, ses experts ont eu le nez creux. Lockheed Martin était apparemment sur le qui-vive. Selon l’industriel, l’intrusion a été détectée très rapidement. L’intervention, aussi rapide, a donc permis de la circonvenir. Ce ne sera peut-être pas le cas pour les autres cibles.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close