Art Coviello, l’espace d’une lettre ouverte, rédige lui-même le bulletin d’alerte : nos serveurs ont été piratés, et une partie des informations « spécifiquement en rapport avec les produits d’authentification à double facteur Secure ID ». Et de préciser que tel quel, ce vol ne compromet pas directement les usagers mais pourrait être utilisé dans le cadre d’une attaque d’une plus grande envergure. En attendant, les mesures de protection des systèmes d’information de l’entreprise ont été renforcés etc.
Une telle opération ne peut être que le fruit d’une attaque hautement sophistiquée… une de ces fameuses « APT » ; ou Advanced Persistent Threat. RSA ne peut succomber sous les coups d’un petit intrus de quartier. Et puis, comme le fait remarquer un billet de Securosis, APT, ça fait tout de suite penser à la Chine, ce qui permet de jouer les victimes se concentrant sur le pansement de ses plaies et se dédouanant de toute responsabilité. Une concentration qui évite à EMC d’être plus explicite sur la nature de l’attaque, l’étendue, le risque exact encouru pour les utilisateurs de tokens… le moins que l’on puisse dire, c’est qu’Art Coviello a rédigé une lettre « ouverte » aussi fermée et informative qu’un discours d’homme politique en pleine période électorale.
Ce qui ne semble pas du tout déranger une grande partie des médias anglophones, BizSmart joue à Couper-Coller, Network World reste dans le flou, SearchSecurity se garde de tout jugement, et le Sans publie une note journalière quasi-télégraphique comme cela est d’usage. Et ainsi de suite. En revanche, Richard Bejtlich reprend en partie l’argument de Securosis : le terme APT masque un peu trop ce qui s’est réellement passé sur les ordinateurs de RSA. En revanche, l’ancien « gourou sécu » de l’USAF reconnaît qu’il y a là effectivement des indices prouvant que l’attaque pourrait bien relever d’une véritable APT : parvenir à dérober des technologies d’authentification afin de pénétrer plus facilement sur certains serveurs et ainsi avoir accès à la « propriété intellectuelle » de la victime n’est pas une tactique nouvelle (Stuxnet notamment, dans un tout autre registre, utilise aussi des certificats dérobés). Espérons que nous en apprendrons un peu plus lorsque de l’eau aura coulé sous les ponts, conclut Beijtlich. Il n’est pas le seul à attendre un complément d’information.
1 commentaire