Selon RSA, les attaquants ont pu accéder à son réseau en utilisant des feuilles de calcul Excel piégées, envoyées en pièce jointe par mail, à deux groupes de salariés. L'un d'eux a succombé à la tentation d'ouvrir les pièces jointes habilement intitulées «Plan de recrutement 2011.xls. » Or celles-ci contenaient un fichier Flash exploitant un bug « zero-day » inconnu d'Adobe, et donc non corrigé, qui a permis aux pirates de prendre le contrôle de son ordinateur. À partir de là, ils ont installé une variante de l'outil d'administration à distance Poison Ivy (RAT).

Avec le RAT, les pirates ont ensuite récupéré des informations d'identification utilisateurs pour accéder à d'autres machines au sein du réseau RSA. Ils y ont recherché et copié des informations sensibles, et ont ensuite transféré ces données vers des serveurs externes dont ils avaient le contrôle. Bien que RSA n'a donné aucun détail sur la nature des données subtilisées, l'entreprise a admis que des informations relatives à ses produits SecurID, qui permettent de créer un système d'authentification à deux niveaux, font parties des éléments volés par les hackers.

Une faille Flash pas encore répertoriée

La description, donnée la semaine dernière, de cette attaque utilisant Flash comme vecteur, permet d'expliquer la réaction d'Adobe et d'autres à propos de la faille. Elle indique aussi que RSA a été piraté au moins plusieurs jours avant que la société en fasse publiquement état. C'est le jeudi 17 mars au soir que RSA a signalé l'attaque et le vol de données. Mais trois jours auparavant, Adobe avait publié un avis de sécurité par lequel elle informait et reconnaissait que des pirates exploitaient un bug non corrigé de son Player Flash et utilisant des documents Excel trafiqués. « Des rapports indiquent que cette vulnérabilité est exploitée de manière sauvage dans des attaques ciblées via un fichier Flash (.swf) inclus dans un document Microsoft Excel (.xls) envoyé en pièce jointe par e-mail, » avait déclaré Adobe le 14 mars dans son communiqué.

À l'époque, l'éditeur de San José n'avait pas mentionné RSA comme étant la cible des attaques en cours. Mais la société avait promis de corriger cette vulnérabilité la semaine suivante. La promesse avait été tenue, puisqu'Adobe avait livré, le lundi 21 mars, en dehors de son calendrier habituel, une mise à jour de son lecteur multimédia. Ce n'est pas la première fois qu'Adobe livre des correctifs d'urgence pour Flash. Ainsi, en 2010, l'éditeur avait publié trois correctifs d'urgence, l'un six jours après seulement, et les deux autres une semaine après la mise en évidence d'une vulnérabilité.

Une vulnérabilité vite exploitée

Avec le recul, la gravité de la vulnérabilité identifiée dans Flash aurait dû paraître évidente. Le 17 mars, Microsoft indiquait aux utilisateurs d'Office de se protéger et avait fourni un outil de configuration spécifique pour mettre en place certaines parades. L'éditeur de Redmond avait formulé ces recommandations plusieurs heures avant qu'un responsable de RSA admette que le réseau de son entreprise avait été compromis. Le salarié de RSA qui a ouvert le fichier d'attaque Excel a du utiliser une version d'Office antérieure à la version 2010. En effet, dans un post publié le 17 mars sur son blog, un manager et ingénieur en sécurité du Microsoft Security Response Center (MSRC) avait déclaré que la version 2010 d'Excel n'était pas vulnérable à l'attaque en cours.

Dans Excel 2010, le DEP (Data Execution Prevention) est actif par défaut. Ce système de protection utilise une technologie anti-faille, qui isole également les fichiers malveillants ouverts avec Office 2010 dans un « bac à sable » nommé « Vue protégée », qui empêche le code d'attaque de s'échapper de l'application. Microsoft avait signalé que « les anciennes versions d'Excel, notamment Office 2003 et Office 2007, n'étaient pas protégées par le DEP ou la « Protected View. » RSA avait pourtant caractérisé l'attaque de « menace persistante avancée » ou APT « Advanced Persistant Threat » - une qualification souvent utilisée pour des attaques lentes, furtives, généralement attribuée à des pirates informatiques chinois - que certains experts en sécurité jugent tout à fait ordinaire. «Deux emails et un Flash Player d'Adobe zero-day, et on appelle ça un APT! » a déclaré sur Twitter Jeremiah Grossman, CTO de WhiteHat Security.