RSA SecurID 2011
Une pièce jointe Excel intitulée « 2011 Recruitment Plan » a été ouverte aux RH. Trois mois plus tard, les tokens matériels utilisés par la moitié du Fortune 500 devaient être remplacés.
Début 2011, une entreprise de sécurité appartenant à EMC, nommée RSA, révèle une « cyberattaque extrêmement sophistiquée » contre ses propres systèmes. La divulgation est inhabituellement opaque. L’entreprise indique que les attaquants ont pris des informations liées à son produit d’authentification à deux facteurs SecurID, mais refuse de préciser ce que cela signifie exactement.
L’email de phishing et le tableur
Reconstituée plus tard par F-Secure et d’autres, l’intrusion commence par une campagne de phishing de faible volume visant une poignée d’employés RH de RSA. Le fichier Excel joint, intitulé « 2011 Recruitment Plan », contient un exploit Flash embarqué. Un employé repêche le message dans ses spams et l’ouvre. En quelques heures, un cheval de Troie d’accès distant est installé, et les attaquants se déplacent dans le réseau vers les systèmes liés aux seeds SecurID — les secrets cryptographiques qui liaient chaque token matériel à son serveur.
La suite Lockheed
En mai, Lockheed Martin révèle une tentative d’intrusion contre ses réseaux. Les attaquants avaient utilisé des tokens SecurID clonés. RSA, restée studieusement vague pendant des mois, est contrainte de confirmer publiquement que les seeds SecurID faisaient bien partie des données volées. L’entreprise propose de remplacer les tokens à tout client qui en ferait la demande. Des dizaines de millions ont demandé.
Ce que la chronique retient
L’incident RSA a été un cas précoce, et public, où un attaquant compromet un éditeur de sécurité spécifiquement pour utiliser le produit de cet éditeur contre ses propres clients. La technique — viser les clés du royaume plutôt que les royaumes eux-mêmes — est restée un classique des opérations étatiques depuis.