En avril, la société responsable de la création des jetons de sécurité, RSA, a admis qu’une faille dans son système permettait aux pirates d’avoir accès à des données qui ont rendu possible une attaque récente de la société, fournisseur de technologie et de matériel de guerre du gouvernement américain, Lockheed Martin.
Bien que cela ait compromis la sécurité de tous les clients de la RSA, Lockheed Martin et Northrop-Grumman ont été les seules entreprises à avoir été touchées par l’attaque jusqu’à présent. En France, le système est utilisé par plusieurs banques, dont
Le personnel de F-Secure, la société de sécurité responsable de l’anti-virus homonyme, a découvert que cette attaque avait été provoquée d’une manière pas si difficile : ingénierie sociale.
Pour ceux qui ne savent pas ce que cela signifie : c’est lorsqu’un individu assume l’identité d’une autre personne ou société, afin de tromper la victime. Nous le savons bien, avec les fameuses attaques de phishing (ces fameux e-mails bancaires dans lesquels vous n’avez pas de compte ou GMail vous avertissant que votre compte sera supprimé si vous ne téléchargez pas un logiciel d’activation de compte).
Depuis avril, lorsque l’attaque a été notifiée, F-Secure savait déjà que l’attaque était dirigée contre les employés de EMC(la société est le contrôleur de RSA) et le courriel contenait un fichier appelé 2011 Recruitment plans.xls. Ce fichier n’avait cependant pas encore été trouvé par qui que ce soit, jusqu’à ce qu’un employé de F-Secure, en analysant une banque contenant des milliers de logiciels malveillants, découvre que quelqu’un (probablement de la RSA ou d’EMC) avait téléchargé le fichier Outlook sur Virus Total.
Le courriel a été envoyé à plusieurs employés d’EMC, comme s’il provenait de la société de CV (comme Catho) Beyond.com, avec pour objet 2011 Recruitment plans, et avec seulement une ligne de texte (le texte a été traduit) :
Je vous transmettrai ce dossier pour analyse. Veuillez l’ouvrir et l’analyser.
Dans ce cas, le fichier contient un Flash joint qui exécute ce [x] à partir de la photo ci-dessus. Comme Excel est compatible avec Flash (et je reformule la question posée par l’équipe de F-Secure : pourquoi diable Excel est-il compatible avec Flash ?), il tire parti d’une vulnérabilité existante dans Adobe Flash Player qui affecte tous les systèmes d’exploitation et fait fonctionner une porte dérobée sur le système (la porte dérobée utilisée était Poison Ivy, qui permet essentiellement de contrôler totalement la machine infectée), l’exploitation ferme alors la porte dérobée et l’infection est “complète”.
Ensuite, la porte dérobée se connecte dans un domaine utilisé dans plusieurs attaques d’espionnage. Une fois la connexion terminée, le pirate a alors un accès complet à l’ordinateur.
Comme il s’agissait d’une “attaque de type “zero-day””, c’est-à-dire que le développeur n’a pas encore eu l’occasion de publier de correctifs, Adobe et Microsoft, et EMC elle-même, n’ont pas eu la possibilité de corriger cette vulnérabilité à temps.
En d’autres termes, il fallait s’appuyer sur le facteur sécurité, sur lequel les employés eux-mêmes auraient dû être alertés (et éduqués). L’attaque a été menée de manière simple ? les renseignements des pirates exploitant les vulnérabilités existantes et l’exploit a été oui, avancé (comme l’équipe F-Secure l’a elle-même déclaré).
