Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Attaque ciblée à l'encontre de RSA : 10 points à retenir

Attaque ciblée à l'encontre de RSA : 10 points à retenir
2011-08-232013-02-11sécurité organisationnelle et humainefr
Toute personne travaillant dans le domaine de l'informatique et encore plus dans celui de la sécurité a suivi le feuilleton concernant l'attaque ciblée à l'encontre de RSA en début de cette année. L'interview vidéo "Lab Matters - Anatomy of the RSA targeted attack, 18 Aout 2011" entre...
Publié le 23 Août 2011 par Jean-François Audenard dans sécurité organisationnelle et humaine
attaque ciblée à l'encontre de RSA : 10 points à retenir

Toute personne travaillant dans le domaine de l'informatique et encore plus dans celui de la sécurité a suivi le feuilleton concernant l'

L'interview vidéo "Lab Matters - Anatomy of the RSA targeted attack, 18 Aout 2011" entre Ryan Naraine (Expert sécurité chez Kaspersky) et de Uri Rivner (Responsable des nouvelles technologies chez RSA Security) nous permet de revenir sur cet incident pour en retirer 10 recommandations.

Je dois reconnaitre que la démarche est plutôt inhabituelle car suite à une attaque c'est souvent le silence radio : très peu de détails (sinon aucun) ne filtrent. Au fond ce n'est ni rassurant ni productif pour personne car l'expérience acquise reste cantonnée à un cercle de personnes très limité : bravo donc à RSA de bousculer les codes et partager ainsi leur expérience.

au commencement était le social engineering

L'un des employés de RSA a reçu un mail de phishing ciblé (spear phishing) intitulé "plan de recrutement 2011" avec un fichier attaché. Celui-ci a ouvert le fichier attaché et c'est une faille zéro-day pour Adobe Flash. Cette faille a permis d'installer un malware (un RAT : Remote Administration Tool) permettant à l'attaquant de prendre à distance le contrôle de la machine et du réseau local connecté à celle-ci.

cibler les sous-traitants et fournisseurs et se donner les moyens de détecter

La cible ultime des attaquants n'était pas RSA en tant que tel mais plutôt certains de leurs grands clients dans des secteurs sensibles comme la défense, les infrastructures critiques, les systèmes financiers, etc...

Selon Uri Rivner, cette attaque aurait pu rester totalement indétectée pour un très grand nombre de sociétés. Dans le cas de RSA Security, ils auraient détecté l'attaque via un très petit nombre d'actions anormales provenant de certaines de leurs machines. Hormis l'utilisation d'outils spécifiques (comme les sondes de Netwitness), il est essentiel de surveiller le réseau interne.

10 points à retenir de l'intrusion contre RSA

#1: L'utilisation croissante des réseaux sociaux comme LinkedIn, FaceBook, Google+, (...) facilite le ciblage des employés.

#2: Le facteur humain est un élément critique d'une stratégie de sécurité : Sensibiliser et former régulierement les employés est donc essentiel et complémentaire à de la sécurité "technique".

#3: Le niveau de compétence et d'entrainement des attaquants est d'un très très bon niveau : Il s'agit de professionnels motivés et entrainés développant leurs propres outils et techniques.

#4: Les attaquants ne cherchent plus à pénétrer les défenses périmètriques de façon directe mais ciblent les employés localisés sur le périmètre interne.

#5:  Il faut partir du principe que le périmètre de sécurité interne est compromis.

#6: Une fois au sein du réseau local, il est aisé pour les attaquants de passer au travers du périmètre de sécurité car celui-ci est plus perméable dans ce sens.

#7: Le niveau de sécurité de ses fournisseurs, partenaires et sous-traitants est un sujet à ne pas négliger car ils peuvent être des vecteurs d'attaque très puissants si ils sont eux-mêmes compromis. 

#8: La détection d'attaque nécessite une surveillance très fine du périmètre interne et des actions des différents utilisateurs sur celui-ci.

#9: L'utilisation en amont de systèmes de type "enregistreurs de trafic réseau" permet de reconstruire le fil de l'intrusion et de déterminer l'étendue des données et informations qui ont été dérobées.

#10: Utiliser la virtualisation en tant qu'outil de sécurité via des zones de sécurité plus fines et l'application facilité des correctifs de sécurité ou une supervision renforcée.

3 Commentaires

  • 4 Septembre 2011
    2011-09-04
    par
    Petite vidéo (près de 27mins) qui décortique l'attaque. Pour un public averti uniquement car c'est assez technique : http://www.infiltrated.net/rsa-comp-analysis/

    Permet de voir les outils utilisés lors d'une analyse de ce genre. Intéressant et éducatif !
  • 25 Août 2011
    2011-09-04
    par
    On/Off
    Bonjour,

    Trois remarques :

    1) Tous les outils et techniques cités ne concernent que des sociétés de taille conséquente. Comment un "petit" sous-traitant/partenaire/donneur d'ordre peut-il se prémunir sans avoir de moyens techniques/humains/matériels/financiers conséquents?

    2) Ramener à la France, et son droit spécifique (HADOPI pour ne pas la nommer ;-) ) que certain aimerait voir se généraliser, RSA serait donc coupable de "non sécurisation de son accès Internet", car ayant permis la diffusion/le partage de données ne lui appartenant pas...
    Encore une fois, comment une petite entreprise pourra t-elle s'en prémunir ?
    (préjudices directs, mais aussi indirects, si le partenaire/client/fournisseur intente une action en justice...)

    3) Les outils de "supervision" (au sens large) ou de tests restent des outils. Leurs usages peuvent être licites ou illégaux. Exemple avec les outils de tests réseaux en wifi, dont un hack avait été de pouvoir se connecter de partout, sans que les propriétaires des bornes ne puisse l'empêcher, sinon à se déconnecter eux-même.
    Parmi les outils cités, les traces capturées peuvent être analysées selon divers buts. Comment être sûr de se limiter à la gestion des trafics réseaux sans empiéter sur le "flicage" qui est lui aussi très préjudiciable ?

    Merci d'avance pour vos réponses.
  • 24 Août 2011
    2011-09-04
    par
    L'article de ZDNet intitulé "Assume you're next: RSA" fournit des informations complémentaires ainsi qu'un lien vers un document PDF de RSA "When Advanced Persistent Threats Go Mainstream" décrivant plus en détail ce qui arrivé et détaillant les recommandations à suivre pour éviter d'être le prochain sur la liste.
    JF

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage