Dans une note publiée sur le site web de l'entreprise par Art Coviello, le président exécutif de RSA, celui-ci indique que son entreprise «tient les clients de RSA activement informés de cette situation et leur transmet les mesures immédiates à prendre pour renforcer leurs implémentations SecurID. » Dans l'état actuel, « nous pensons que l'information piratée ne permet pas de mener avec succès une attaque directe contre l'un de nos clients RSA SecurID, mais l'information dérobée pourrait être utilisée pour réduire l'efficacité de l'authentification à deux niveaux et pour mener une attaque de plus grande envergure, » a déclaré le président de RSA. Dans ce communiqué, Art Coviello donne peu de détails sur ce qui s'est passé, mais prodigue plusieurs conseils aux clients.

Selon le président exécutif de RSA, une filiale d'EMC, la cyber-attaque est «récente» et la technique d'intrusion utilisée est de type Advanced Persistent Threat, identique à celles menées fin 2009 contre les systèmes de Google et une centaine d'autres entreprises. Les pirates se servent de la messagerie ou du web pour s'introduire dans l'entreprise. Ils parcourent ensuite les réseaux internes à la recherche de données sensibles à subtiliser.

Une intrusion inquiétante pour les utilisateurs de SecurID

Chez RSA, les pirates ont trouvé des informations sur les produits SecurID utilisés sur les ordinateurs PC, les périphériques USB, les téléphones et les accès sécurisés d'environ 25 000 entreprises pour ajouter une couche de sécurité supplémentaire : en plus de leur nom d'utilisateur et de leur mot de passe, les personnes souhaitant se connecter à des programmes ou à des réseaux doivent franchir des niveaux d'authentification supplémentaires comme la génération d'un mot de passe temporaire à l'aide d'une calculette (token).

« L'intrusion dans les réseaux internes de RSA et l'accès au code source de SecurID pourraient permettre aux criminels de développer une méthode pour attaquer les utilisateurs de SecurID. Mais cela ne leur donnerait pas le moyen de casser l'ensemble du cryptage de RSA, » a déclaré Thorsten Holz, professeur adjoint à la Ruhr-Universität Bochum, où il enseigne la sécurité informatique. « Si RSA dispose d'une implémentation correcte, cela ne devrait pas trop les inquiéter, » a-t-il ajouté.

Des hacks plus faciles avec la  clef symétrique

Mais pour Thierry Zoller, professionnel de la sécurité et consultant pour un cabinet européen,  « si les hackers qui se sont introduits chez RSA ont pu voler les clés de chiffrement - les clefs symétriques uniques ou seed records - utilisées pour les tokens SecureID, les choses pourraient être bien pires. » En effet, ces calculettes spécialisées servent à générer, toutes les 30 secondes environ, le mot de passe unique SecureID qui permet d'authentifier l'utilisateur.

« Si le pirate a accès à la clef symétrique, il a potentiellement la capacité de calculer le nombre qui s'affiche sur le token au moment de l'authentification, » a expliqué le consultant. Certes, même avec les mots de passe SecureID, les pirates auraient encore besoin du nom d'utilisateur et des mots de passe habituels pour se connecter au réseau ou au programme qu'ils tentent de compromettre. Mais le crack du système serait désormais beaucoup plus facile.

[[page]]

Cependant, d'après RSA, on ne sait pas exactement ce que les pirates ont pu subtiliser sur le réseau de l'entreprise. Pour Nate Lawson, cryptographe et fondateur de Root Labs, nous ne disposons pas de suffisamment d'informations pour évaluer la gravité du problème. « Si j'étais un de leurs clients, je serais très embarrassé pour savoir ce que je dois faire. Ils font beaucoup de recommandations à leurs clients, mais ceux-ci prennent déjà le type de précautions qu'ils préconisent, » a-t-il déclaré.

Les représentants de RSA n'ont pas répondu aux différentes demandes de commentaires. Selon l'entreprise, aucun produit EMC n'est concerné par l'attaque et RSA ne pense pas que d'autres produits RSA, hormis SecurID, soient affectés. « Il n'y a pour l'instant aucune preuve que des informations sur les clients ou leurs utilisateurs aient été subtilisées, » a déclaré Art Coviello. Dans les heures qui ont suivi l'annonce du piratage, la côte de l'action EMC a baissé de 1,25 %. Dans un communiqué, EMC a déclaré qu'elle ne pensait pas que « l'évènement aurait un impact significatif sur ses résultats financiers.»