Overblog Tous les blogs Top blogs Technologie & Science Tous les blogs Technologie & Science
Editer l'article Suivre ce blog Administration + Créer mon blog
MENU

Un petit blog sans prétention (enfin j'espère) sur ce qui retient mon attention en matière de sécurité informatique....mais pas que.

Publicité

Veille - RS(h)A(ck)

Petit Update

 

Faut-il arrêter de se servir de ses tokens SecurID ?
http://www.reseaux-telecoms.net/actualites/lire-faut-il-arreter-de-se-servir-de-ses-tokens-securid-23092.html

My 2 cents : BEN NON. On sait que les mots de passe statiques ne valent pas tripettes et faut-il pour autant les abandonner? Non, car nous n'avons toujours pas trouvé de moyen aussi simple et efficace. Oui, l'attaque subie par RSA remet en question la sécurité de la solution. Mais si on devait abandonner toutes les solutions qui ne sont pas intrinsèquement sécurisées ou plus exactement connues pour leurs défauts on ne ferait pas grand chose.
Par contre, il est indispensable de toujours auditer les activités utilisateurs, administrateurs et de séparer autant que faire ce peut les privilèges. Et si l'on peut renforcer la politique de sécurité (nb d'essai avant verrouillage du compte, changement régulier des codes PIN, complexité des codes PIN, etc...)

 

Tristan

 

================================================================================================================================================
Bonsoir,

Ce soir, un petit retour sur l'affaire RSA. D'après ce que j'en sais, j'aurais tendance à dire que l'hypothèse émise par SID (http://sid.rstack.org/blog/index.php/466-compromission-de-rsa-kerckhoffs-fail) est assez proche de la réalité.
Ayant des connaissances qui travaillent sur les produits RSA, ils ont été contactés en direct. Sans avoir plus d'explications que cela, ce qui est redouté par RSA, ce sont des attaques en phishing pour extorquer des informations.
On peut raisonnablement estimer que les infos à récupérer sont :
- le code PIN qui n'a pu être volé car dépendant du client et pouvant être changé.
- le code aléatoire du token qui doit quelque part dépendre du numéro de série et qui effectivement ne dépend de rien d'autre que du token. Il n'est pas possible de le changer.

Twingo, comme RSA s'est fait volé quelquechose d'important mais que cela ne peut pas être le code PIN, c'est donc si ce n'est le code aléatoire, au moins la méthode pour le générer.
Donc, on peut penser que la sécurité ne repose plus que sur le code PIN, ce qui conforte les propos de RSA (transcrits par SID) sur la "réduction de l'efficacité de l'implémentation d'une authentification bi-facteur dans le cadre d'une attaque de plus grande ampleur".

Donc, il convient de prendre des mesures simples et classiques afin d'éviter tout problème.
- Sensibiliser les utilisateurs. Jamais votre Helpdesk (ou quelqu'un d'autre) ne doit vous demander votre code PIN ni ne doit le connaître (que ce soit par mail, téléphone ou autre). Par contre, si vous décidez de le changer régulièrement, c'est une bonne idée.
- Sensibiliser les Helpdesk. Jamais vos utilisateurs ne peuvent demander de réinitialiser leur code PIN si vous n'avez pas vérifié leur identité au préalable.
- Sensibiliser les Administrateurs de la solution. Ce n'est pas parce que la solution est une solution de sécurité qu'il ne faut rien faire. On peut forcer un certain nombre de paramètres pour changer régulièrement les codes PIN, modifier leur complexité, etc...
Bon d'accord, les utilisateurs ne vont pas apprécier, mais ce serait pas mal.
- Sensibiliser les fouilleurs de logs. Analyser les actions suspectes côté utilisateurs, côté Helpdesk et côté Administrateurs de la solution.

Voilà, bon courage à tous.

Bonne lecture
Tristan

================================================================================================================================================

RSA victime d’une cyberattaque
http://pro.01net.com/pro.01net.com/editorial/530272/rsa-victime-d-une-cyberattaque

RSA: Hackers breached us, tried to steal crypto intellectual property
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40532
http://www.scmagazineus.com/rsa-hackers-breached-us-of-intellectual-property/article/198618/

Kaminsky: RSA breach report lacks depth
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40555
http://www.zdnet.com.au/rsa-breach-report-lacks-depth-kaminsky-339311583.htm?

RSA says hack won't allow "direct attack" on SecureID tokens
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40562
http://arstechnica.com/security/news/2011/03/rsa-says-hack-wont-allow-direct-attack-on-secureid-tokens.ars

Initial Thoughts on RSA "APT" Announcement
http://taosecurity.blogspot.com/2011/03/initial-thoughts-on-rsa-apt.html

RSA Hack Yields SecurID Secrets
http://threatpost.com/en_us/blogs/rsa-hack-yields-securid-secrets-031711

RSA Warns Customers Of Targeted Attacks In Wake of Hack
http://threatpost.com/en_us/blogs/rsa-warns-customers-targeted-attacks-wake-hack-031811

**Updated** RSA Breached: SecurID Affected
http://securosis.com/blog/rsa-breached-secureid-affected

Caution urged in wake of RSA security breach
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40576
http://www.computerworld.com/s/article/9214800/Caution_urged_in_wake_of_RSA_security_breach


Four Steps to Take If Your Business Depends on RSA SecurID Tokens
http://www.hackinthebox.org/index.php?name=News&file=article&sid=40585
http://www.pcworld.com/businesscenter/article/222598/four_steps_to_take_if_your_business_depends_on_rsa_securid_tokens.html

Back-End Software May Be Real Worry in RSA Attack
http://threatpost.com/en_us/blogs/back-end-software-may-be-real-worry-rsa-attack-032111

The RSA SecurID Problem
http://www.cs.columbia.edu/~smb/blog//2011-03/2011-03-18.html

Compromission de RSA : Kerckhoffs #FAIL ?
http://sid.rstack.org/blog/index.php/466-compromission-de-rsa-kerckhoffs-fail

Publicité
Retour à l'accueil
Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article