Sécurité

RSA admet que les jetons SecurID ont été compromis, laissant les grandes entreprises sans protection

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

(Crédit image : Ludovic F. Rembert via Confidentialité Canada)

Lorsque nous avons appris en mars que la société de sécurité RSA avait été piratée, nous nous sommes moqués, secoué la tête, soupiré de désespoir et collectivement facepalmé. Lorsque la nouvelle est apparue plus tard que sa base de données de détails SecurID avait été piratée, nous avons été choqués et consternés, mais toujours pleins d’espoir. Puis aujourd’hui, dans des nouvelles qui ont confirmé l’incompétence de RSA, nous avons appris que la tentative de piratage de la semaine dernière contre Lockheed Martin, un sous-traitant gouvernemental de la défense, a été rendue possible par la violation de la base de données RSA.

SecurID est une solution de sécurité par mot de passe à usage unique (OTP) en deux parties. Chaque utilisateur qui doit se connecter à un système reçoit un dongle ou un jeton SecurID physique. Chaque dongle est programmé avec le secret partagé du réseau, qui est ensuite mélangé avec la date et l’heure pour créer l’OTP. Le serveur d’authentification, qui connaît également le secret partagé, génère ensuite son propre OTP – et s’ils correspondent, l’utilisateur peut se connecter. C’est une configuration très sécurisée – à moins que quelqu’un d’autre ne découvre le secret partagé. Dans l’état actuel des choses, l’authentification en deux parties est la meilleure approche et la plus conviviale pour sécuriser les systèmes.

Croyez-le ou non, les pirates ont en quelque sorte pénétré dans le système de RSA, se sont dirigés vers une base de données remplie de données liées à SecurID, puis ont utilisé ces données pour lancer une attaque sophistiquée contre Lockheed Martin, un client qui utilise ostensiblement le système SecurID de RSA pour verrouiller vers le bas de leur réseau. C’est presque inconciliable, mais apparemment, RSA a gardé les secrets partagés de chacun de ses clients dans un format facilement rétro-conçu. Les pirates ont pris le secret partagé de Lockheed dans la base de données, ont créé leur propre mot de passe à usage unique, puis ont tenté de se connecter au réseau de Lockheed.

La belle et dégoûtante ironie est que RSA savait, dès le moment où ils ont enquêté sur l’attaque, que l’objectif final des pirates était le vol de propriété intellectuelle – pourtant, en trois mois, RSA n’a pas réussi à sécuriser à nouveau le réseau compromis de Lockheed. « Certaines caractéristiques de l’attaque contre RSA ont indiqué que le motif le plus probable de l’auteur était d’obtenir un élément d’information de sécurité qui pourrait être utilisé pour cibler les secrets de la défense et la propriété intellectuelle associée », a écrit le président exécutif de RSA, Art Coviello, dans un communiqué. lettre ouverte à ses clients. « […] le jeudi 2 juin 2011, nous avons pu confirmer que des informations prises à RSA en mars avaient été utilisées comme élément d’une tentative d’attaque plus large contre Lockheed Martin », poursuit la lettre. L’attaque a été déjouée, mais probablement uniquement grâce à l’action héroïque de L’équipe de sécurité informatique de Lockheed.

Psssssst :  Apple et Microsoft buck trend refusent de bloquer les certificats racine chinois non autorisés - High-teK.ca

Lockheed et RSA ont eu de la chance, en d’autres termes. RSA propose des dongles SecurID de remplacement, et nous ne pouvons que supposer que ses propres mécanismes de sécurité ont été mis à niveau. La triste vérité, cependant, est que RSA doit avoir sa base de données la plus précieuse connectée à Internet d’une manière ou d’une autre. Chaque ordinateur connecté au réseau est finalement piratable – et pourtant, une entreprise de sécurité chargée de sécuriser certains des secrets les plus précieux au monde l’a laissé branché. D’une manière ou d’une autre, RSA a pris l’un des meilleurs mécanismes de sécurité au monde et l’a rendu non sécurisé.

En savoir plus sur SecurIDl’attaque contre Lockheedet l’attaque contre RSA en Mars

Bouton retour en haut de la page