Hack de RSA : ingénierie sociale, mails ciblés, faille zero-day…
RSA, la division sécurité d'EMC, a détaillé les techniques exploitées par des pirates pour s'introduire le mois dernier sur son réseau et y dérober des informations. Rien de très nouveau, mais une cascade d'opérations bien menées ciblant le point faible de la sécurité : l'utilisateur. Un modus operandi de plus en plus répandu et contre lequel les entreprises - vendeurs de solution de sécurité y compris - paraissent relativement démunies.
RSA, la division sécurité d'EMC, a livré quelques détails sur le modus operandi de l'attaque dont elle a été victime. Rappelons que le 21 mars dernier, l'éditeur avait reconnu dans une lettre ouverte à ses clients qu'une attaque informatique avait permis d’exfiltrer des informations liées à SecurID, une solution token d’authentification forte généralement utilisée pour sécuriser des applications Web où sont réalisées des transactions critiques. Selon les nouveaux détails dévoilés par la firme, l'attaque reposait sur l'exploitation par les pirates d'une faille non corrigée de Adobe Flash Player. RSA explique que les assaillants ont accédé au réseau de l'entreprise via l'envoi d'e-mails ciblés à deux petits groupes d'employés. Ce message renfermait une pièce jointe - un tableau Excel intitulé "2011 Recruitment plan.xls" - qui a été ouverte par un seul employé. Car l'e-mail est tombé dans la boîte spams des outils de courriels, empêchant probablement une attaque plus massive.
Cette unique erreur d'un utilisateur isolé a toutefois suffi aux assaillants : le document Excel renfermait en effet un fichier Flash exploitant la faille zero-day, inconnue à l'époque d'Adobe (donc également de RSA). Une fois cette machine sous contrôle, les pirates y ont installé un outil d'administration à distance (une version spécifique de Poison Ivy) pour exploiter les droits d'accès de son utilisateur et, ainsi, dérober des informations sur le réseau interne de RSA et transférer les données en question vers des serveurs qu'ils contrôlaient. Rappelons que la division sécurité d'EMC n'a pas précisé le volume ni la nature des informations volées, se contentant d'indiquer que des données liées avec SecurID y figuraient. Selon Avivah Litan, analyste au Gartner qui revient sur son blog sur les principaux enseignements de cette attaque, le hack a été détecté en interne via NetWitness, un outil de monitoring de réseau, mais pas suffisamment rapidement pour empêcher tout vol d'information.
RSA cordonnier mal chaussé, selon le Gartner
Le mécanisme de cette attaque renvoie à un bulletin de sécurité d'Adobe daté du 14 mars, dans lequel l'éditeur de Flash avertissait les utilisateurs qu'une vulnérabilité exploitant des fichiers Flash embarqués dans des tableaux Excel était exploitée dans des attaques ciblées. Sans toutefois citer le nom de RSA. Ce dernier n'a, de son côté, reconnu avoir été victime d'un piratage que le 17 mars. La vulnérabilité a été comblée par un correctif sorti par Adobe en urgence, le 21 mars.
Le 17 encore, Microsoft avait donné des consignes à ses utilisateurs d'Office (dont fait partie Excel) pour se prémunir contre ce type d'attaque. L'occasion pour Redmond de rappeler que la dernière version d'Office était protégée contre cette technique, via les fonctions DEP (Data Execution Prevention) et Protected View (un bac à sable) activées en standard dans la dernière mouture de la suite bureautique.
Dans son billet, tout en saluant la décision de RSA de ne pas occulter l'attaque, Avivah Litan égratigne tout de même les procédures de sécurité en place chez ce spécialiste... de la sécurité. "RSA commercialise son propre système de détection de fraude, basé sur le profiling des utilisateurs et de leurs comptes, via des modèles statistiques Bayésiens, et sur des règles, afin de détecter les comportements anormaux et intervenir en temps réel pour ré-authentifier les utilisateurs et vérifier l'authenticité des accès, comportements ou transactions suspects", écrit-elle. Ironiquement, la solution figure d'ailleurs parmi les leaders du Magic Quadrant de Gartner concernant la détection de fraude.
Sur son blog, où il revient aussi sur le mécanisme de l'attaque, Uvi Rivner, le patron des nouvelles technologies de protection d'identité de RSA, explique toutefois : "j'ai parlé à de nombreux responsables de la sécurité d'entreprises touchées par des attaques de même type et elles sont nombreuses à n'avoir détecté l'attaque qu'après des mois, voire à ne pas l'avoir détectée du tout avant d'en être informées par leur gouvernement." Et de souligner que chez RSA, l'assaut a été repéré et stoppé par l'équipe chargée de la réponse à ce type d'incident, équipe utilisant "très largement les technologies RSA".