Après l'intrusion dans les systèmes de RSA Security, des analystes de NSS Labs avaient prédit que cet évènement marquait une étape : « Cette action est décisive. Elle a permis aux attaquants de récupérer les clés virtuelles des clients de RSA, au nombre desquels figurent les entreprises les plus concernées par la sécurité. Un ou plusieurs clients de RSA sont devenus des cibles potentielles. Dans le secteur de l'armement, des finances, des institutions gouvernementales et autres activités, projets, stratégies commerciales, où la propriété intellectuelle représente une valeur critique, tous sont exposés. »

Le piratage des clés SecurID avait été suivi de nombreuses campagnes de phishing et d'attaques par des logiciels malveillants, en fait des tests spécifiques pour tenter de relier certains jetons RSA à un utilisateur final. Cela permet de penser aussi que ces attaques ont été réalisées par les mêmes pirates que ceux qui se sont introduits dans les serveurs de RSA Security, et surtout de confirmer qu'ils agissent en fonction d'un objectif bien précis. Souvent, les intrusions dans des serveurs de données sont le résultat du hasard, des occasions qui se présentent, et la plupart d'entre elles peuvent être évitées. Mais une attaque ciblée, où l'attaquant cherche spécifiquement à vous atteindre, est beaucoup plus difficile à éviter.

Une attaque très ciblé contre le groupe militaro-industriel

L'attaque contre RSA Security ne semble pas avoir été le fait du hasard, fonction d'une éventuelle opportunité, mais plutôt une attaque ciblée, montée dans le but de se procurer les clés nécessaires pour viser des proies plus importantes, comme Lockheed-Martin par exemple. À coup sûr, Lockheed-Martin et le gouvernement américain disposent des experts en sécurité capables de décortiquer l'événement et de faire les rapprochements nécessaires, mais il semble bien que, vue la nature de la cible, celle-ci ait été parrainée par un État ou menée par des pirates avec l'intention de monnayer les informations dérobées à d'autres gouvernements. Heureusement, Lockheed-Martin affirme qu'elle a pu détecter l'attaque et agir rapidement pour la repousser.

Un porte-parole du groupe de défense américain a indiqué qu'aucun programme, qu'aucune information de ses clients ou de ses employés n'avait été compromise à la suite de cette attaque. Reste que l'événement prit dans son ensemble - depuis l'attaque de RSA Security et le vol des jetons SecurID, jusqu'à Lockheed-Martin - montre que les logiciels malveillants et le cyber-crime peuvent agir de manière de plus en plus insidieuse. Après le temps du malware trivial, des petits scripts et de leurs nuisances, après celui du cyber-crime professionnel et organisé, est venu celui de l'attaque sophistiquée pour viser et espionner spécifiquement des entreprises et des gouvernements.

Crédit photo : Lockheed Martin / Boeing F-22 Raptor