================================================================================================================================================
Bonsoir,
Ce soir, un petit retour sur l'affaire RSA. D'après ce que j'en sais, j'aurais tendance à dire que l'hypothèse émise par SID (
http://sid.rstack.org/blog/index.php/466-compromission-de-rsa-kerckhoffs-fail) est assez proche de la réalité.
Ayant des connaissances qui travaillent sur les produits RSA, ils ont été contactés en direct. Sans avoir plus d'explications que cela, ce qui est redouté par RSA, ce sont des attaques en phishing pour extorquer des informations.
On peut raisonnablement estimer que les infos à récupérer sont :
- le code PIN qui n'a pu être volé car dépendant du client et pouvant être changé.
- le code aléatoire du token qui doit quelque part dépendre du numéro de série et qui effectivement ne dépend de rien d'autre que du token. Il n'est pas possible de le changer.
Twingo, comme RSA s'est fait volé quelquechose d'important mais que cela ne peut pas être le code PIN, c'est donc si ce n'est le code aléatoire, au moins la méthode pour le générer.
Donc, on peut penser que la sécurité ne repose plus que sur le code PIN, ce qui conforte les propos de RSA (transcrits par SID) sur la "réduction de l'efficacité de l'implémentation d'une authentification bi-facteur dans le cadre d'une attaque de plus grande ampleur".
Donc, il convient de prendre des mesures simples et classiques afin d'éviter tout problème.
-
Sensibiliser les utilisateurs. Jamais votre Helpdesk (ou quelqu'un d'autre) ne doit vous demander votre code PIN ni ne doit le connaître (que ce soit par mail, téléphone ou autre). Par contre, si vous décidez de le changer régulièrement, c'est une bonne idée.
-
Sensibiliser les Helpdesk. Jamais vos utilisateurs ne peuvent demander de réinitialiser leur code PIN si vous n'avez pas vérifié leur identité au préalable.
-
Sensibiliser les Administrateurs de la solution. Ce n'est pas parce que la solution est une solution de sécurité qu'il ne faut rien faire. On peut forcer un certain nombre de paramètres pour changer régulièrement les codes PIN, modifier leur complexité, etc...
Bon d'accord, les utilisateurs ne vont pas apprécier, mais ce serait pas mal.
-
Sensibiliser les fouilleurs de logs. Analyser les actions suspectes côté utilisateurs, côté Helpdesk et côté Administrateurs de la solution.
Voilà, bon courage à tous.
Bonne lecture
Tristan
================================================================================================================================================
RSA victime d’une cyberattaque
http://pro.01net.com/pro.01net.com/editorial/530272/rsa-victime-d-une-cyberattaque RSA: Hackers breached us, tried to steal crypto intellectual property
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40532 http://www.scmagazineus.com/rsa-hackers-breached-us-of-intellectual-property/article/198618/ Kaminsky: RSA breach report lacks depth
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40555 http://www.zdnet.com.au/rsa-breach-report-lacks-depth-kaminsky-339311583.htm?
RSA says hack won't allow "direct attack" on SecureID tokens
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40562 http://arstechnica.com/security/news/2011/03/rsa-says-hack-wont-allow-direct-attack-on-secureid-tokens.ars Initial Thoughts on RSA "APT" Announcement
http://taosecurity.blogspot.com/2011/03/initial-thoughts-on-rsa-apt.html RSA Hack Yields SecurID Secrets
http://threatpost.com/en_us/blogs/rsa-hack-yields-securid-secrets-031711 RSA Warns Customers Of Targeted Attacks In Wake of Hack
http://threatpost.com/en_us/blogs/rsa-warns-customers-targeted-attacks-wake-hack-031811 **Updated** RSA Breached: SecurID Affected
http://securosis.com/blog/rsa-breached-secureid-affected Caution urged in wake of RSA security breach
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40576 http://www.computerworld.com/s/article/9214800/Caution_urged_in_wake_of_RSA_security_breach Four Steps to Take If Your Business Depends on RSA SecurID Tokens
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40585 http://www.pcworld.com/businesscenter/article/222598/four_steps_to_take_if_your_business_depends_on_rsa_securid_tokens.html Back-End Software May Be Real Worry in RSA Attack
http://threatpost.com/en_us/blogs/back-end-software-may-be-real-worry-rsa-attack-032111 The RSA SecurID Problem
http://www.cs.columbia.edu/~smb/blog//2011-03/2011-03-18.html Compromission de RSA : Kerckhoffs #FAIL ?
http://sid.rstack.org/blog/index.php/466-compromission-de-rsa-kerckhoffs-fail