« N'importe qui utilisant des tokens SecurID de RSA pour sécuriser des accès distants devrait se poser la question de leur usage jusqu'à ce que RSA - qui a admis une brèche majeure dans son réseau le 17 mars - ait clarifié les informations qui ont été compromises», déclare les NSS Labs.  

Ce laboratoire de test de produits de sécurité est situé à Carlsbad en Californie. Il estime même que les clients de RSA devraient s'intéresser à des solutions d'authentification alternatives.  Dans son analyse, intitulée « RSA breach » [NDLR : RSA violation], NSS Labs indique qu'« il attend une chaîne de violations découlant de cet événement » et dit qu'il croit que la violation RSA divulguée par le président exécutif de RSA, Art Coviello,  le 17 mars, a été pour les hackers « une décision stratégique visant à récupérer les clés virtuelles des clients de RSA, qui sont les plus soucieux de la sécurité dans le monde. » 

Des risques pour un grands nombre d'organisations

NSS Labs va plus loin : « Les organisations militaires, financières, gouvernementales, qui doivent gérer des informations confidentielles courent des risques. » Les commentaires publics de Art Coviello ainsi que les déclarations réalisées auprès de la SEC (Securities and Exchange Commission) (au format 8K) au sujet de cette effraction et publiées par RSA ont été insuffisants et ont laissé des questions sans réponse selon NSS Labs.  

Art Coviello a appelé cette attaque une « menace avancée persistante » (ou APT pour Advanced Persistent Threat), qui a abouti au fait que « des renseignements » relatifs à SecurID aient été pris.   Une APT est une violation furtive par des pirates, souvent de long  terme et parfois par des gouvernements étrangers ou des entreprises concurrentes, qui tentent de voler des informations de valeur.

Les bases de SecurID seraient compromises

NSS Labs déclare qu'il croit que « les secrets du serrurier ont pu être volés, et que l'intégrité de l'authentification à 2 facteurs de RSA ait été compromise. Cette connaissance rompt le modèle de l'authentification à deux facteurs, étant donné que l'attaquant peut désormais créer la chaîne nécessaire pour une authentification réussie, ce qui élimine la nécessité de connaître le mot de passe et le code PIN. Il permettra à un attaquant de seconnecter en tant qu'utilisateur de confiance avec un  accès correspondant à ses privilèges.» 

Certains analystes s'attendent à voir un correctif pour le système SecurID de RSA. Et le cabinet Gartner a suggéré que les clients potentiels de SecurID puissent avoir envie de suspendre leurs achats jusqu'à ce que RSA ait rendu publics de plus amples renseignements.  Le 21 mars, IronKey, dont le produit IronKey Trusted Access pour  la banque peut être utilisé en combinaison avec RSA SecurID, a déclaré : « Le scénario le plus probable proposé par les experts de l'industrie est que les codes secrets, également connus sous le nom de 'seeds' , utilisés pour créer des mots de passe utilisables une seule fois, ont été compromis ou volés, ce qui pourrait permettre de réaliser une authentification SecurID  sans disposer d'un token véritable. »

Illustration : le token SecurID est disponible sous de multiples formes. Il délivre un mot de passe valable durant 30 secondes et utilisable une seule fois pour accéder à un serveur distant. (D.R.)