Verisign avoue que ses systèmes ont été attaqués avec succès en 2010
La société, qui opère les principaux domaines internet et exploite deux des serveurs foot d'Internet, a subi une attaque informatique dans le courant 2010. Restée secrète, cette attaque a été divulguée à l'automne 2011 dans un rapport de la société à la SEC passé inaperçu. Nos confrères de Reuters ont finalement levé le lièvre hier et rendu l'affaire publique.
VeriSign a finalement avoué avoir subi une série d'intrusions informatiques en 2010, année au cours de laquelle la firme disposait encore, outre son activité de gestion des plus importants DNS de la planète, d'une importante activité d'émission de certificats numériques.
La firme a divulgué les attaques dans un rapport remis à la SEC (Securities and Exchange Commission) à l'automne 2011, mais l'information était passée inaperçue. Ce sont finalement nos confrères de Reuters qui ont levé le lièvre hier et rendu publique l'information, dans un article traitant des nouvelles prescriptions de la SEC en matière de divulgation d'intrusions informatiques.
Intrusion confirmée, aucune certitude sur sa portée
Selon Verisign, plusieurs attaques opérées en 2010 ont permis à des attaquants d'accéder au réseau interne de la firme. Celle-ci confirme que des données ont été dérobées, mais croit savoir que les attaquants n'ont pas accédé au système DNS. "Nous avons enquêté et ne pensons pas que ces attaques aient compromis les serveurs qui supportent notre réseau DNS", indique ainsi Verisign. En ajoutant : "Du fait de la nature de telles attaques, nous ne sommes pas en mesure de garantir que les mesures de remédiation que nous avons prises seront suffisantes pour bloquer de futures attaques ou empêcher la fuite d'autres informations".
Ce verbiage juridique n'a rien de bien rassurant vu le caractère sensible de l'activité de la firme (qui opère les registres du .com et du .net et deux des 13 serveurs DNS racines - ou"root servers" - de l'internet mondial). Verisign ajoute aussi que même si la société n'a pas connaissance d'une utilisation dans la nature des données exfiltrées, elle est incapable de garantir que de telles informations n'ont pas été déjà utilisées ou ne le seront pas dans l'avenir."
Des dégâts difficiles à évaluer
La firme refusant d'en dire plus, il est délicat d'évaluer avec précision l'ampleur des dégâts causés par les intrusions, mais ces dernières pourraient avoir eu des conséquences calamiteuses, notamment si les intrus ont pu accéder à certains systèmes clés de Verisign. Jusqu'à l'été 2010, la firme opérait en effet la principale autorité de certification mondiale (activité alors revendue à Symantec) en plus de ses serveurs DNS.
Le pire est qu'officiellement, le management de Verisign n'a pas eu connaissance des attaques avant septembre 2011, les équipes informatiques n'en ayant pas fait mention à leur direction. Ken Silva, qui était le CTO de VeriSign jusqu'en novembre 2010, a ainsi expliqué à Reuters qu'il n'avait pas été tenu informé de l'intrusion. Depuis, la société indique qu'elle a mis en oeuvre de nouvelles procédures de reporting.
Anup K. Ghosh, le directeur scientifique de l'éditeur de navigateur web sécurisé Invincea et par ailleurs expert réputé en sécurité, explique que le cas de Verisign est caractéristique de l'industrie. "L'industrie de la sécurité informatique est incapable de concevoir des architectures de systèmes et des technologies à même de résister aux attaques". Abordant plus spécifiquement le cas de Verisign, il rappelle qu'à l'époque, la société possédait des éléments de propriété intellectuelle et gérait des certificats à même d'intéresser des nations ou des cyberdélinquants : "Il y a des nations comme la Chine ou certains pays d'Europe de l'Est qui ciblent les données d'entreprises, des "hacktivistes" et cybercriminels qui attaquent pour de l'argent. Les entreprises sont sous la menace de tous ces acteurs et nos systèmes de sécurité sont défaillants".
Le pire serait sans doute que les attaquants aient mis la main sur des certificats SSL, qu'ils pourraient alors utiliser pour des attaques de type "homme du milieu", afin d'intercepter les communications sécurisées d'une entreprise ou se faire passer pour une entreprise légitime sur le web (un type d'attaque qui couplé à un détournement des DNS serait quasiment imparable, le faux site apparaissant aux visiteurs comme le site légitime, à la bonne adresse et avec le bon certificat).
Symantec, de son côté, se veut rassurant et affirme que l'activité de certification SSL de Verisign, qu'il a rachetée, n'est pas concernée par la brèche divulguée par Verisign et qu'elle n'a subi aucune intrusion depuis le rachat.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
Ikea, Bureau Veritas, groupe Adélaïde : un même scénario de cyberattaque ?
-
SolarWinds : les attaquants se sont aussi intéressés au code source de Mimecast
-
DNS : le ministère américain de l’Intérieur s’inquiète du risque de détournement
-
DNS : une campagne de détournement rappelle l’impératif de sécurité des comptes d’administration