Language Selection

SecurityVibes Magazine

Main Content

Left content

Hack RSA : la suite de l’histoire

auteur de l'article Jérôme Saiz , dans la rubrique Alertes & Menaces

Une mise au point essentielle, recueillie par un membre de SecurityVibes, éclaire un peu mieux les conséquences du piratage dont à récemment été victime RSA, la division sécurité d’EMC, si la clé secrète était effectivement volée. Selon ses informations, trois éléments entrent en compte dans une clé RSA :

  • La clé secrète (volée)
  • Le numéro de série du token (9 chiffres)
  • L’heure qu’il est (connue de tout le monde)

D’après notre membre la clé secrète serait volée (ce que RSA n’a cependant pas confirmé officiellement), et il ne reste donc plus que le numéro de série du jeton pour protéger la solution. Il estime toutefois que l’entropie de ce numéro de série est beaucoup trop faible pour résister à une attaque. Certes une approche par force brute contre un accès web ou VPN serait trop bruyante (visible dans les journaux ou bloquée par les IPS), mais « si l’attaquant dispose d’une trace réseau contenant une authentification valide, il peut brute-forcer le numéro de série en local en quelques minutes« , explique-t-il.

Une fois la manoeuvre réussie, « l’attaquant dispose d’un ‘vrai faux’ token RSA indistingable de celui d’un utilisateur légitime« , conclue notre membre.

Ce qui fait dire à un autre membre SecurityVibes participant à la discussion que RSA pourrait désormais envoyer les jetons et les seeds de manière séparée, et ces derniers seront stockés sur un support chiffré. « Pour accéder à ce média, il faudra joindre directement RSA« , explique-t-il.

Mais l’histoire ne dit pas comment RSA protégera la clé d’accès à ce média chiffré…

Plus d’information :

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Participez!

  • http://www.securityvibes.com sylvain.maret

    Si cette information est confirmée cela veut dire qu’il suffit de lire le numéro de série qui se trouve sur chaque Token Hardware. Ce qui n’est pas très compliqué en soit. Je vois donc plus une approche par social engineering.

    Autre question dans l’hypothèse que les seeds sont dans la nature ? Qui les possèdent ? Sera-t-il possible de les acheter pour quelques $ ? Bref, on n’a pas fini d’entendre parler de cette affaire.

  • http://www.securityvibes.com jsaiz

    @Sylvain : d’après le lien sur icttf.org ci-dessus, le numéro de série gravé au dos du token n’a pas de lien avec le l’identifiant 64bits stocké dans la puce (sauf chez RSA, bien sur !).

  • http://www.securityvibes.com sylvain.maret

    @Jérome: Je ne suis pas convaincu. Mais peut être je me trompe. Dans le fichier XML des « seeds » il y a bien de numéro de série de chaque Token sur 9 caractères. J’ai essayé de le modifier pour un Token et effectivement le TokenCode est différent (test avec le Token Calculator by oxid.it). Je ne sais pas quoi penser ? Peut être quelqu’un à des pistes !

  • http://www.securityvibes.com nruff

    L’identifiant 64 bits *est* cette fameuse clé privée dont la liste aurait été volée chez RSA.

    Avec le Token Calculator susmentionné, je pense que vous avez tous les éléments pour vous faire une opinion.

    Mais globalement, je ne vois pas ce qu’il y a d’autres à voler chez RSA que ces clés privées (l’algorithme étant connu, etc.). Donc si RSA a senti le besoin de communiquer aux autorités américaines, on peut raisonnablement supposer que l’incident est grave.

    Par contre je ne crois pas qu’on verra les clés réapparaitre sur Internet pour quelques $

  • http://www.securityvibes.com philippe.bourgeois

    Le scénario d’attaque mentionné par Jérôme dans son article suppose que l’attaquant dispose d’une « trace réseau contenant une authentification valide« . Je ne pense pas que cette trace circule en clair sur le réseau :-) . Typiquement l’authentification sur un portail VPN-SSL se fait dana une session en HTTPS, non ?

    Donc pour une attaque, il faut :

    - soit obtenir le No de série du device RSA

    - soit monter un faux portail d’authentification pour que l’utilisateur envoie une authentification valide.

    La capture réseau (discrète) ne marche pas, je pense …

  • http://www.securityvibes.com frederic.lebastard

    A ce stade, la seule donnée dont on sait qu’elle est restée secrète, c’est le code PIN (souvent à 4 chiffres) de l’utilisateur. Un peu léger pour une authentification « forte » !

    Différents scénarios sont envisageables pour collecter les données manquantes pour des attaquants : l’igénierie sociale reste une valeur sûte ;-) mais on pourrait imaginer un scénario rocambolesque avec un MITM basé sur un faux certificat délivré par Comodo

    L’actualité récente à rappelé si c’était nécessaire que pas grand chose ne résiste à des gens compétents et motivés ; le plus choquant dans cette histoire, c’est l’attitude de RSA qui refuse de donner des informations tout en prétendant que tout va bien et qu’on leur a juste volé une liste de diffusion de carte voeux … poisson d’avril ?

  • http://smaret.clavid.ch/ smaret

    Test OpenID et Athentification forte :-)

    Merci pour cette nouvelle fonctionalité. Très Cool.

    Sylvain

    • http://www.securityvibes.fr Aurélien Cabezon

      On se doutait que ca allait te plaire Sylvain ;-)

  • Stephane

    Votre membre dit n’importe quoi…La clef secrete volee?! Pfff

    • Stephane

      Comment imaginer un instant que les seeds et tokens sont envoyes ensemble, franchement.

      • http://twitter.com/securityvibesfr SecurityVibes.com FR

        Merci pour ce retour Stéphane. Effectivement les seeds ce ne serait pas une bonne pratique :) N’hésitez pas à détailler si vous avez d’autres informations. Nous sommes ici dans la spéculation, RSA n’ayant encore rien annoncé officiellement. Tous les points de vue sont bons à prendre pour nourrir le débat.

Right content

Prenez la parole!

Sécuriser VDI

 Quelle sécurité pour un environnement de clients légers ? Comment protéger une infrastructure VMware VSphere et clients légers ? La banalisation du poste de travail et le nomadisme introduisent-ils de nouveaux risques ? C'est la question que se pose un membre de SecurityVibes. Avez-vous une expérience en la matière ?

Prenez la parole !

Discussions

  • Corporate directory - Access management? 2 mai 2012
    Bonjour,   Mon problème actuellement est de savoir comment il serait possible de gérer les accès au Corporate Directory. Par accès, il est sous-entendue utilisateurs, mais aussi applications. Pour faire simple, j'essaye […]
  • Choix d'une Solution de Chiffrement de données 18 avril 2012
    Bonjour tout le monde,   Je suis sur une étape de redaction d'un CPS concernant un besoin de cryptage des données sur les Desktops et Laptops de mon Entreprise. Plusieurs solutions sont présentes sur le marché( SafeNet, […]
  • Cocktail Happy-Hour avec SecurityVibes 17 avril 2012
    Bonjour à tous!   La grand messe INFOSECURITY Europe à Londres (http://www.infosec.co.uk) aura lieu la semaine prochaine. De nombreux français font le déplacement et l'équipe SECURITYVIBES sera sur place !   Afin […]

Publicité

Newsletter SecurityVibes

Saisissez votre adresse email:

Sondage

Quel lecteur êtes vous?

View Results

Loading ... Loading ...

Suivez-nous sur Facebook!

Commentaires

Archives SecurityVibes

Ne ratez pas le CSO Interchange Paris 2012     Inscription »
Extension Factory Builder