IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

RSA rejette la faute sur Flash et les médias sociaux pour l'attaque dont elle a été victime


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 060
    Points
    149 060
    Par défaut RSA rejette la faute sur Flash et les médias sociaux pour l'attaque dont elle a été victime
    RSA rejette la faute sur Flash et les médias sociaux pour l'attaque dont a été victime son système d'authentification
    Mise à jour du 05.04.2011 par Katleen

    RSA vient de faire des déclarations concernant la cyber attaque dont elle avait été victime en mars dernier, et dont elle révèle enfin les causes.
    Les pirates auraient ainsi procédé à l'envoi de deux messages de type phishing à deux jours d'intervalle. Via ces messages personnalisés qui contenaient un fichier tableur compromis, envoyés sur des sites sociaux à plusieurs petits groupes de salariés, des données sur les employés de la firme ont été volées.

    Le code malicieux présent dans la pièce jointe prenait avantage d'une faille zero-day dans Flash (Adobe) pour infecter les ordinateurs et donner un accès à distance aux pirates. Qui en ont profité pour se servir, sans que l'on sache encore ce qu'ils ont pris (RSA n'a toujours pas communiqué sur ce point).

    RSA explique que cette attaque montre une chose : que les personnes restent le point faible d'une entreprise.

    Source : Le blog de RSA

    Pensez-vous en effet que les employés soient les maillons faibles d'une entreprise en terme de sécurité informatique ?



    L'authentification forte par Token compromise ?
    La société RSA victime d'une cyber-attaque se fait dérober des informations sur sa technologie



    La société RSA est bien connue dans le monde de la sécurité d'entreprise. Elle fournit les fameux « Token », ces petits récepteurs qui permettent une authentification forte.



    Le principe est simple. Une identification « classique » repose sur un identifiant et un mot de passe. Une authentification forte repose, en plus, sur un numéro changeant en permanence (au moins une fois par minute). Ce numéro est envoyé en continue sur le Token de l’utilisateur, rajoutant ainsi une couche de sécurité en s'assurant que l'employé qui se connecte est bien celui qui possède le boîtier électronique.

    Problème, RSA vient de subir une cyber-attaque, visiblement couronnée de succès. La société s'est fait dérobé des informations précieuses sur cette technologie.

    « Bien que pour l'heure, nous pensons que les informations qui ont fuité ne permettent pas des attaques directes contre nos clients-utilisateurs, ces informations pourraient être potentiellement utilisées pour diminuer l'efficacité de l'authentification forte dans le cadre d'une attaque plus large », concède Arthur W. Coviello, Jr. du Comité Directeur de RSA.

    L'attaque subie par la société est, d'après son dirigeant, des plus sophistiquées. L'enquête menée a aboutit à la conclusion qu'il s'agirait d'une Advanced Persistent Threat (ou APT).

    Contrairement aux DoS (Denial of Service) et autres injections XSS, cette appellation ne définit pas un type de technique précis.

    Les APT sont des attaques qui cumulent différentes méthodes, souvent complexes (interceptions d'appels téléphoniques, infiltration et ingénierie sociale, malwares, etc.). Autre particularité, elles ne visent pas un gain immédiat mais le long terme. Il ne s'agit pas de dérober des numéros de cartes bancaires par exemple, mais de trouver des données pour corrompre un système (d'où le terme de « persistent »). Enfin, ces attaques sont coordonnées par une personne ou des personnes physiques avec un but et une cible bien précis.

    On parle plus souvent d'APT dans le cadre d'attaques contre la sécurité d'un gouvernement ou d'un pays. Ce qui ne veut pas dire que les grandes entreprises, ou celles exerçant sur des secteurs sensibles, ne sont pas concernées. La preuve en est.

    « Nous communiquons activement sur cette situation avec les clients de RSA et nous leur fournissons des mesures immédiates à prendre pour renforcer leurs installations SecurID », précise Arthur W. Coviello, Jr.

    Une des premières règles de la communication de crise est la transparence. Sur ce point, personne ne pourra donc critiquer sa société.

    Dans le monde, plus de 40 millions d'employés utilisent cette technologie quotidiennement. En France, les Tokens sont utilisés en interne par des institutions comme l’Éducation Nationale ou des sociétés comme Air France.

    Source : Open Letter to RSA Customers

    Et vous ?

    Avez-vous à gérer des Tokens ? Faîtes-nous part de votre expérience et dîtes-nous ce que vous inspire cette lettre ouverte de RSA


    MAJ de Gordon Fowler

  2. #2
    Membre chevronné
    Avatar de kedare
    Homme Profil pro
    SRE
    Inscrit en
    Juillet 2005
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Espagne

    Informations professionnelles :
    Activité : SRE

    Informations forums :
    Inscription : Juillet 2005
    Messages : 1 548
    Points : 1 865
    Points
    1 865
    Par défaut
    C'est bien sauf qu'au final ils ont pas répondu a la fameuse question: Les vilains ils ont volés quoi comme informations pour que ça mette le SecurID en danger ?

  3. #3
    Membre habitué
    Profil pro
    Inscrit en
    Janvier 2008
    Messages
    354
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2008
    Messages : 354
    Points : 134
    Points
    134
    Par défaut
    Bonjour à tous,

    Je me suis toujours demandé comment fonctionnait ce système, comment le token recevait un nouveau numéro toutes les minutes.
    Y a un serveur quelque part qui envoie ou c'est la clé qui la génére ??
    Si quelqu'un a un lien, je serai moins bête ce soir.

    Merci

  4. #4
    Membre chevronné
    Avatar de kedare
    Homme Profil pro
    SRE
    Inscrit en
    Juillet 2005
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Espagne

    Informations professionnelles :
    Activité : SRE

    Informations forums :
    Inscription : Juillet 2005
    Messages : 1 548
    Points : 1 865
    Points
    1 865
    Par défaut
    A ma connaissance, le serveur et le générateur de token ont leurs horloge synchronisées et une clé pré-partagé.
    Le token est généré en utilisant a la fois la clé et le timestamp actuel.
    Donc théoriquement quelqu'un qui a la clé et qui synchronise son horloge avec le serveur pour générer les bons tokens...

  5. #5
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut
    RSA rejette la faute sur Flash et les médias sociaux pour l'attaque dont a été victime son système d'authentification
    Mise à jour du 05.04.2011 par Katleen

    RSA vient de faire des déclarations concernant la cyber attaque dont elle avait été victime en mars dernier, et dont elle révèle enfin les causes.
    Les pirates auraient ainsi procédé à l'envoi de deux messages de type phishing à deux jours d'intervalle. Via ces messages personnalisés qui contenaient un fichier tableur compromis, envoyés sur des sites sociaux à plusieurs petits groupes de salariés, des données sur les employés de la firme ont été volées.

    Le code malicieux présent dans la pièce jointe prenait avantage d'une faille zero-day dans Flash (Adobe) pour infecter les ordinateurs et donner un accès à distance aux pirates. Qui en ont profité pour se servir, sans que l'on sache encore ce qu'ils ont pris (RSA n'a toujours pas communiqué sur ce point).

    RSA explique que cette attaque montre une chose : que les personnes restent le point faible d'une entreprise.

    Source : Le blog de RSA

    Pensez-vous en effet que les employés soient les maillons faibles d'une entreprise en terme de sécurité informatique ?

  6. #6
    Membre éclairé
    Profil pro
    Développeur Java
    Inscrit en
    Mars 2004
    Messages
    624
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Mars 2004
    Messages : 624
    Points : 681
    Points
    681
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    Pensez-vous en effet que les employés soient les maillons faibles d'une entreprise en terme de sécurité informatique ?
    Oui puisque ce sont les employés (de leur entreprise ou d'une autre) qui on installé Flash, qui ont créé les réseaux sociaux, qui ont programmé Flash avec des failles...
    Bref, il y a toujours un employé en bout de chaine à qui jetter la faute, puisque, le monde est rempli d'employé.

    Du coup, savoir que c'est la faute d'un/des empoloyés ne fait rien avancer.

  7. #7
    Membre confirmé
    Inscrit en
    Février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : Février 2010
    Messages : 230
    Points : 581
    Points
    581
    Par défaut
    Pensez-vous en effet que les employés soient les maillons faibles d'une entreprise en terme de sécurité informatique ?
    S'ils ne sont pas bien formé à la sécurité informatique, oui. Cet exemple en est une preuve : les employés n'aurai de toute manière pas dû accéder à des réseaux sociaux ou à leurs mails personnels depuis leur poste de travail, tout particulièrement dans un environnement contenant des données à risque...

  8. #8
    Membre chevronné Avatar de Hellwing
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2008
    Messages
    538
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Avril 2008
    Messages : 538
    Points : 2 091
    Points
    2 091
    Par défaut
    Citation Envoyé par bubulemaster Voir le message
    Oui puisque ce sont les employés (de leur entreprise ou d'une autre) qui on installé Flash, qui ont créé les réseaux sociaux, qui ont programmé Flash avec des failles...
    Bref, il y a toujours un employé en bout de chaine à qui jetter la faute, puisque, le monde est rempli d'employé.

    Du coup, savoir que c'est la faute d'un/des empoloyés ne fait rien avancer.
    C'est une façon de voir les choses, mais je pense que la question portait plus sur le cas de l'utilisateur qui exécute n'importe quoi sur son PC sans se méfier.

    Et qui joue à Facebook pendant les heures de boulot

  9. #9
    Membre chevronné
    Avatar de kedare
    Homme Profil pro
    SRE
    Inscrit en
    Juillet 2005
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Espagne

    Informations professionnelles :
    Activité : SRE

    Informations forums :
    Inscription : Juillet 2005
    Messages : 1 548
    Points : 1 865
    Points
    1 865
    Par défaut
    Citation Envoyé par GCSX_ Voir le message
    S'ils ne sont pas bien formé à la sécurité informatique, oui. Cet exemple en est une preuve : les employés n'aurai de toute manière pas dû accéder à des réseaux sociaux ou à leurs mails personnels depuis leur poste de travail, tout particulièrement dans un environnement contenant des données à risque...
    Bloquer la vie privée des employés c'est la meilleur façon de baisser leur productivité...

  10. #10
    Membre émérite Avatar de SofEvans
    Homme Profil pro
    Développeur C
    Inscrit en
    Mars 2009
    Messages
    1 080
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France

    Informations professionnelles :
    Activité : Développeur C

    Informations forums :
    Inscription : Mars 2009
    Messages : 1 080
    Points : 2 356
    Points
    2 356
    Par défaut
    Citation Envoyé par kedare Voir le message
    Bloquer la vie privée des employés c'est la meilleur façon de baisser leur productivité...
    Hum, quand tu es au boulot, on te paye pas pour que tu y vive ta vie privée.
    Je comprend qu'on peut pas bosser tout le temps à fond et qu'on ai besoins de prendre des pauses de temps en temps, mais je voie mal où intervient la vie privé la-dedans.

    En l'occurrence, quand on travail à un poste à risque, certaines "sécurité" devrait être prise :

    * formation basique des employé
    * Blocage de certains site
    * Impossibilité de mettre des clef usb (rappelons nous stuxnet)
    * et plein d'autre que j'oublie encore

    Bref, la vie privé n'a rien à y voir. Surtout que quand on occupe un poste à risque, ca signifie en général "poste à responsabilité" (et ce mot n'est pas la pour faire joli).

  11. #11
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 150
    Points : 28 129
    Points
    28 129
    Par défaut
    Bonjour,

    Il fut un temps ou il etait normal de separer vie privee et vie professionnelle - dans les deux sens : on ne travaille pas a la maison et on ne glande pas au bureau - sauf exception.

    Mais ce temps est bien fini, et comme les entreprises tirent parti de cela (voir interview du directeur de Microsoft France sur BFM cette apres-midi par exemple), elles laissent faire, meme si, effectivement, cela cree des failles de securite evidentes.

    A part certains developpeurs web, avez-vous deja eu besoin, professionnelement, de la technologie Flash ? Moi jamais. Je ne l'ai d'ailleurs pas sur mon ordinateur professionnel, et je m'en passe tres bien.

Discussions similaires

  1. Russie : les médias sociaux s'opposent aux injonctions des procureurs
    Par Stéphane le calme dans le forum Actualités
    Réponses: 0
    Dernier message: 30/12/2014, 01h50
  2. Réponses: 337
    Dernier message: 27/09/2011, 13h52
  3. Réponses: 39
    Dernier message: 26/08/2009, 10h53
  4. Réponses: 4
    Dernier message: 10/04/2007, 19h59

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo