Compromission des graines SecurID de RSA
Un courriel de harponnage porteur d'une faille zero-day Flash a donné aux attaquants un point d'entrée chez RSA, depuis lequel ils ont exfiltré des données liées au système d'authentification à deux facteurs SecurID — données ensuite utilisées dans une tentative d'intrusion contre Lockheed Martin.
- Victime
- RSA Security (EMC)
- Perte
- $66.0M
- utilisateurs
- 40.0M
En mars 2011, l'éditeur de sécurité RSA — la division d'EMC dont les jetons SecurID sécurisaient les connexions de banques, d'administrations et de sous-traitants de la défense dans le monde entier — a révélé avoir été victime d'une intrusion. Les attaquants avaient dérobé des informations liées au système d'authentification à deux facteurs SecurID lui-même, fragilisant un produit auquel quelque 40 millions d'utilisateurs de jetons faisaient confiance pour protéger leurs réseaux les plus sensibles. Deux mois plus tard, ces données volées sont réapparues dans une tentative d'intrusion contre Lockheed Martin.
Ce qui s'est passé
L'intrusion a commencé par l'un des courriels de harponnage les plus étudiés de l'histoire de la sécurité. Les attaquants ont envoyé à un petit nombre d'employés de RSA un message ayant pour objet « 2011 Recruitment Plan » accompagné d'un tableur Excel. Le fichier comportait un objet Flash intégré exploitant CVE-2011-0609, une vulnérabilité zero-day d'Adobe Flash Player.
Lorsqu'un employé — dont le message avait été récupéré dans un dossier de courrier indésirable — a ouvert la pièce jointe, l'exploit a installé un outil d'accès à distance (une variante de Poison Ivy), donnant aux attaquants un point d'entrée dans le réseau de RSA. Ils se sont ensuite déplacés latéralement, ont collecté des identifiants et élevé leurs privilèges, atteignant finalement des systèmes hébergeant des données relatives à SecurID et les exfiltrant vers des serveurs de transit externes.
Le problème SecurID
Les jetons SecurID génèrent un code numérique tournant dérivé d'une valeur secrète de « graine » propre à chaque jeton, combinée à l'heure courante. Si un attaquant connaît la graine d'un jeton, le code qu'il affiche devient prévisible — réduisant à néant le second facteur d'authentification. RSA n'a jamais publié exactement ce qui avait été dérobé, mais la violation était assez grave pour que RSA avertisse ses clients que leur protection SecurID était amoindrie et propose finalement de remplacer les jetons de l'ensemble de sa clientèle.
Impact
- Des données liées au système SecurID — concernant un parc installé d'environ 40 millions de jetons — ont été exfiltrées.
- En mai 2011, Lockheed Martin a détecté et bloqué une tentative d'intrusion que RSA a confirmé être liée aux informations SecurID dérobées.
- La maison mère EMC a déclaré avoir dépensé environ 66 millions de dollars dans le trimestre suivant la violation, principalement pour le remplacement des jetons et la surveillance.
- RSA a qualifié l'intrusion de menace persistante avancée (APT) cohérente avec un acteur étatique.
Pourquoi c'est important
La violation de RSA est une étude de cas fondatrice pour deux idées désormais érigées en doctrine. D'abord, elle a montré que l'éditeur de sécurité est lui-même une cible de grande valeur — compromettre le fabricant d'un produit d'authentification peut fragiliser d'un seul coup tous ses clients en aval, une attaque de chaîne d'approvisionnement d'école. Ensuite, elle a démontré que l'authentification à deux facteurs ne vaut que par les secrets qui la sous-tendent : un seul courriel de harponnage, une faille zero-day et un déplacement latéral patient ont suffi à éroder la confiance dans un produit dont des millions d'utilisateurs faisaient leur dernière ligne de défense. L'épisode a accéléré les évolutions du secteur vers une authentification résistante au hameçonnage, fondée sur la cryptographie à clé publique.
Impact financier
Coûts déclarés en USD
- Perte d’exploitation$66.0M
Chronologie
Les attaquants envoient des courriels de harponnage intitulés « 2011 Recruitment Plan » avec une pièce jointe Excel malveillante à de petits groupes d'employés de RSA.
Un employé ouvre la pièce jointe, déclenchant une faille zero-day de Flash Player (CVE-2011-0609) qui installe un outil d'accès à distance et donne aux attaquants un point d'entrée interne.
Les attaquants se déplacent latéralement, élèvent leurs privilèges et exfiltrent des données relatives au produit d'authentification à deux facteurs SecurID de RSA.
Le président exécutif de RSA, Art Coviello, divulgue publiquement la violation dans une lettre ouverte aux clients, avertissant d'une efficacité réduite de SecurID.
Lockheed Martin détecte et bloque une tentative d'intrusion ultérieurement reliée aux informations dérobées lors de la violation de RSA.
RSA propose de remplacer les jetons SecurID de ses clients et confirme le lien entre SecurID et l'attaque contre Lockheed Martin.
La maison mère EMC déclare avoir dépensé environ 66 millions de dollars en remédiation, principalement pour le remplacement des jetons.
Sources
- darkreading.comhttps://www.darkreading.com/cyberattacks-data-breaches/rsa-securid-breach-cost-66-million
- bankinfosecurity.comhttps://www.bankinfosecurity.com/rsa-breach-costs-parent-emc-663-million-a-3913
- sec.govhttps://www.sec.gov/Archives/edgar/data/0000936468/000114420411059333/v237835_ex-99.htm
- theregister.comhttps://www.theregister.com/2011/07/27/rsa_security_breach/