AlienVault, vendeurs de systèmes de contrôle d’accès, analyse un hack sortant de l’ordinaire et qui a frappé le Département de la Défense US. Des pirates « semblant originaires de Chine »* auraient récupéré les informations numériques des cartes magnétiques servant au contrôle d’accès des fonctionnaires du DoD. Double contrôle d’accès doit-on préciser, car outre les portes et autre serrures électroniques, ces cartes servent également (mais en facteur secondaire) à l’identification de la personne sur le réseau informatique du Ministère. Le premier facteur serait, précisent les experts, un code PIN à entrer sur le clavier de l’ordinateur… la suite va montrer la fiabilité de ce « double factor ».
L’attaque, précisent les gourous d’AlienVault, aurait été conduite en modifiant un virus relativement ancien, Sykipot, reconfiguré pour s’attaquer au logiciel client d’ActiveIdentity. Les logiciels de cette entreprise Américaine ainsi que les cartes d’accès associées (PC/SC x509) sont très largement utilisées dans certaines administrations Françaises, compagnies bancaires et autres entreprises classées « Scada » en notre pays. Pas de panique, les contre-mesures sont certainement déjà en place.
Une attaque classique, donc, puisque la « marque de fabrique » de l’attaque rappelle celle, également « semblant originaire de Chine »*, qui avait visé Lookeed Martin via une autre variante de Sykipo véhiculée par un fichier pdf forgé. La seule différence est que cette fois, le vecteur d’attaque embarquait un logiciel keylogger. Et c’est là que trépasse la sécurité de l’authentification à double facteur qui se fait sonner deux fois par un seul virus.
* Ndlr : Rappelons que les adresses IP ne sont preuves d’une identité certaine que du côté de la Rue du Texel. Dans le reste du monde, les gens qui savent sont moins péremptoires.