Toute personne travaillant dans le domaine de l'informatique et encore plus dans celui de la sécurité a suivi le feuilleton concernant l'
L'interview vidéo "Lab Matters - Anatomy of the RSA targeted attack, 18 Aout 2011" entre Ryan Naraine (Expert sécurité chez Kaspersky) et de Uri Rivner (Responsable des nouvelles technologies chez RSA Security) nous permet de revenir sur cet incident pour en retirer 10 recommandations.
Je dois reconnaitre que la démarche est plutôt inhabituelle car suite à une attaque c'est souvent le silence radio : très peu de détails (sinon aucun) ne filtrent. Au fond ce n'est ni rassurant ni productif pour personne car l'expérience acquise reste cantonnée à un cercle de personnes très limité : bravo donc à RSA de bousculer les codes et partager ainsi leur expérience.
au commencement était le social engineering
L'un des employés de RSA a reçu un mail de phishing ciblé (spear phishing) intitulé "plan de recrutement 2011" avec un fichier attaché. Celui-ci a ouvert le fichier attaché et c'est une faille zéro-day pour Adobe Flash. Cette faille a permis d'installer un malware (un RAT : Remote Administration Tool) permettant à l'attaquant de prendre à distance le contrôle de la machine et du réseau local connecté à celle-ci.
cibler les sous-traitants et fournisseurs et se donner les moyens de détecter
La cible ultime des attaquants n'était pas RSA en tant que tel mais plutôt certains de leurs grands clients dans des secteurs sensibles comme la défense, les infrastructures critiques, les systèmes financiers, etc...
Selon Uri Rivner, cette attaque aurait pu rester totalement indétectée pour un très grand nombre de sociétés. Dans le cas de RSA Security, ils auraient détecté l'attaque via un très petit nombre d'actions anormales provenant de certaines de leurs machines. Hormis l'utilisation d'outils spécifiques (comme les sondes de Netwitness), il est essentiel de surveiller le réseau interne.
10 points à retenir de l'intrusion contre RSA
#1: L'utilisation croissante des réseaux sociaux comme LinkedIn, FaceBook, Google+, (...) facilite le ciblage des employés.
#2: Le facteur humain est un élément critique d'une stratégie de sécurité : Sensibiliser et former régulierement les employés est donc essentiel et complémentaire à de la sécurité "technique".
#3: Le niveau de compétence et d'entrainement des attaquants est d'un très très bon niveau : Il s'agit de professionnels motivés et entrainés développant leurs propres outils et techniques.
#4: Les attaquants ne cherchent plus à pénétrer les défenses périmètriques de façon directe mais ciblent les employés localisés sur le périmètre interne.
#5: Il faut partir du principe que le périmètre de sécurité interne est compromis.
#6: Une fois au sein du réseau local, il est aisé pour les attaquants de passer au travers du périmètre de sécurité car celui-ci est plus perméable dans ce sens.
#7: Le niveau de sécurité de ses fournisseurs, partenaires et sous-traitants est un sujet à ne pas négliger car ils peuvent être des vecteurs d'attaque très puissants si ils sont eux-mêmes compromis.
#8: La détection d'attaque nécessite une surveillance très fine du périmètre interne et des actions des différents utilisateurs sur celui-ci.
#9: L'utilisation en amont de systèmes de type "enregistreurs de trafic réseau" permet de reconstruire le fil de l'intrusion et de déterminer l'étendue des données et informations qui ont été dérobées.
#10: Utiliser la virtualisation en tant qu'outil de sécurité via des zones de sécurité plus fines et l'application facilité des correctifs de sécurité ou une supervision renforcée.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens