Language Selection

SecurityVibes Magazine

Main Content

Left content

Hack RSA : les dessous de l’affaire

auteur de l'article Jérôme Saiz , dans la rubrique Alertes & Menaces

Il semblerait que le piratage dont a été victime RSA Security en début d’année ne soit pas si sophistiqué que l’on a pu l’écrire. C’est en tout cas ce qui ressort de l’analyse par F-Secure du document piégé utilisé par les pirates pour pénétrer le réseau de l’éditeur.

Selon F-Secure, le vecteur de l’attaque était un document Excel vide envoyé à quatre collaborateurs d’EMC, la maison-mère de RSA (quatre sur… trente-trois mille !)

Le courrier semblait provenir du site de recrutement Beyond.com et disait contenir le plan de recrutement 2011 pour l’entreprise.

Mais à ce stade l’affaire aurait très bien pu en rester là : les quatre courriers piégés envoyés à EMC ont été bloqués par l’antispam. Ce n’est que lorsque un utilisateur est allé consulter sa corbeille qu’il a vu l’email intercepté et l’a ouvert.

Dans ce courrier, une seule phrase : « I forward this file to you for review. Please open and view it« . Et voici donc comment un acteur majeur de l’industrie de la sécurité va trébucher : « Veuillez ouvrir et consulter« … Quatre mots.

La feuille de calcul jointe semblait vide mais elle embarquait en réalité un objet Flash malveillant exécuté à l’ouverture (comme le fait remarquer Mikko Hypponen, de F-Secure, « on se demande bien pourquoi Excel permet d’embarquer du Flash…« ). Le code malveillant tentait alors d’exploiter une vulnérabilité inconnue à l’époque (CVE-2011-0609) afin de prendre le contrôle du poste de travail.

Si la faille exploitée était inconnue, le code malveillant qu’elle permettait d’installer est en revanche très connu : il s’agit de l’incontournable Poison Ivy. Mieux : une fois déployé celui-ci se connectait à une URL déjà répertoriée comme étant malveillante.

A ce stade, hormis l’exploit zero-day lui-même, rien n’est donc particulièrement avancé dans cette attaque :

  • L’email envoyé n’est pas un chef d’oeuvre d’ingéniérie sociale (une phrase…)
  • Le document piégé ne fait rien pour donner le change en offrant au moins un contenu quelque peu crédible
  • Le kit de contrôle à distance utilisé par les pirates est très connu
  • L’URL auquel Poison Ivy se connecte est réputée malveillante depuis au moins le mois de septembre 2010, soit sept mois avant l’attaque

Et pourtant, l’opération a parfaitement fonctionnée. Quels enseignements peut-on en tirer, et quelles mesures auraient pu prévenir ce piratage ?

Reprenons pour cela chaque étape :

  • Email et document piégés : une bonne politique de sensibilisation des utilisateurs à la sécurité, et surtout un processus simple et rapide pour qu’ils puissent remonter les comportements ou erreurs suspects, aurait pu aider.
  • Poison Ivy : bien que sa détection soit globalement difficile, il n’est pas entièrement invisible. Un antivirus / antirootkit / antimalware à jour aura certaines chances de le détecter.
  • L’URL de contrôle : c’est ici la meilleure chance de neutraliser l’attaque. Puisque l’URL était réputée malveillante depuis sept mois, un bon outil de filtrage d’URL aurait du bloquer la connexion et donner l’alerte. Mais encore faut-il être capable de la remonter et la traiter.

Pour ce qui est du code malveillant initial, il a été soumis par un inconnu pour la première fois à VirusTotal le 4 mars 2011, soit quinze jours avant que l’attaque ne soit révélée, et avant qu’Adobe ne publie son alerte. Le résultat est sans appel : VirusTotal nous confirme qu’à cette époque aucun des 42 antivirus utilisés ne détectaient l’échantillon.  L’attaque initiale était donc indétectable pour RSA, tant son vecteur que son exploit.

Les choses évoluent cependant dès le lendemain de l’annonce par RSA, l’échantillon était alors reconnu par près de 44% des antivirus utilisés par VirusTotal. La plupart d’entre eux détectaient à cette date l’exploit CVE-2011-0609 (Adobe avait émis son bulletin d’alerte le 14 mars 2011, soit quatre jours avant que l’attaque ne soit rendue publique. Ces éditeurs d’antivirus se sont donc montrés les plus réactifs).

Enfin, soulignons le rôle de l’utilisateur : bien que l’antispam ait fait son travail, c’est l’utilisateur qui est allé chercher le courrier piégé et l’a ouvert. Et bien qu’à ce moment Outlook le prévienne du danger à ouvrir cette pièce jointe, il ne tient pas compte de l’avertissement.

De quoi certainement apporter de l’eau au moulin de la sensibilisation de vos collaborateurs !

(crédit photo : Nintendo et Generation-NT.com)

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Participez!

  • Nicolas Caproni

    Se pose t-on surtout la bonne question ?

    L’important dans cette histoire n’est pas de savoir si oui ou non une attaque ultra sophistiquée a réussi à mettre mal la sécurité de RSA. C’est encore pire. Ca montre qu’une simple attaque bien renseignée et très bien organisée a touché au but. Pas besoin de faire un mail de 10 lignes pour devenir un chef d’oeuvre. Si les mots choisis sont les bons alors 4 mots suffisent. En ça on peut dire que l’attaque était peut être pas sophistiquée mais efficace (le contraire de la sécurité ?)

    Et interrogeons nous également sur les antivirus. Le lendemain seulement 44% d’entre eux etaient à jour… Et aujourd’hui ?

    J’ai eu à analyser il y a quelques temps un fichier doc malveillant du même type joint à un spear phishing (mal ciblé). Exploitant une faille Office datant de fin 2010 (corrigée) seulement 30% des antivirus la detectait sur Virus Total…

  • William BOURGEOIS

    Ce cas que l’on pourrait presque qualifier « d’école » est saisissant. On imagine que RSA dispose d’un budget sécurité conséquent, que de nombreux audits en tout genre ont du être effectués, que le personnel plus que partout ailleurs est sensibilisé aux risques informatiques, etc.

    Mais au final l’élément faible de la sécurité reste… l’homme.

    Peu importe la nature ou la sophistication de l’attaque utilisée. Il suffit d’atteindre une cible humaine facile.

    Conclusion : ne nous cachons pas derrière nos outils de protection et insistons sur la pédagogie auprès de nos utilisateurs… Et espérons que la prochaine attaque sera chez notre voisin.

Right content

Prenez la parole!

Sécuriser VDI

 Quelle sécurité pour un environnement de clients légers ? Comment protéger une infrastructure VMware VSphere et clients légers ? La banalisation du poste de travail et le nomadisme introduisent-ils de nouveaux risques ? C'est la question que se pose un membre de SecurityVibes. Avez-vous une expérience en la matière ?

Prenez la parole !

Discussions

  • Corporate directory - Access management? 2 mai 2012
    Bonjour,   Mon problème actuellement est de savoir comment il serait possible de gérer les accès au Corporate Directory. Par accès, il est sous-entendue utilisateurs, mais aussi applications. Pour faire simple, j'essaye […]
  • Choix d'une Solution de Chiffrement de données 18 avril 2012
    Bonjour tout le monde,   Je suis sur une étape de redaction d'un CPS concernant un besoin de cryptage des données sur les Desktops et Laptops de mon Entreprise. Plusieurs solutions sont présentes sur le marché( SafeNet, […]
  • Cocktail Happy-Hour avec SecurityVibes 17 avril 2012
    Bonjour à tous!   La grand messe INFOSECURITY Europe à Londres (http://www.infosec.co.uk) aura lieu la semaine prochaine. De nombreux français font le déplacement et l'équipe SECURITYVIBES sera sur place !   Afin […]

Publicité

Newsletter SecurityVibes

Saisissez votre adresse email:

Sondage

Quel lecteur êtes vous?

View Results

Loading ... Loading ...

Suivez-nous sur Facebook!

Commentaires

Archives SecurityVibes

Ne ratez pas le CSO Interchange Paris 2012     Inscription »
Extension Factory Builder