RSA a donné quelques détails sur l'attaque subie le mois dernier et via laquelle des données en relation avec ses produits SecurID two-factor authentification ont été volées ( voir notre actualité ).

Qualifiée d'extrêmement sophistiquée, cette cyberattaque a pour origine l'exploitation d'une vulnérabilité de sécurité dans Flash Player d'Adobe grâce à laquelle une backdoor a pu être installée. Des e-mails contenaient un fichier .swf malveillant dans un document Excel ( .xls ). Adobe a corrigé la faille impliquée le 21 mars dernier.

Le facteur humain a une nouvelle fois été déterminant dans la réussite de l'attaque. Les e-mails de phishing ont ciblé deux petits groupes d'employés. L'un de ces employés a récupéré un e-mail pourtant classé dans la rubrique des indésirables, sans doute intrigué par son sujet : " Plan de recrutement 2011 " et a ouvert la pièce jointe piégée.

RSA-attaque L'exploit a ensuite installé une porte dérobée offrant un contrôle d'accès à distance par le biais de l'outil gratuit Poison Ivy. Cela a permis aux attaquants d'espionner des accès serveur et d'élever leurs privilèges avec d'autres vulnérabilités jusqu'à aller là où ils le souhaitaient. Ils ont récupéré des données et les ont copiées sur d'autres serveurs du réseau interne.

Les données ont été exfiltrées via des fichiers compressés et chiffrés à travers un serveur FTP externe compromis chez un hébergeur. Ce que les attaquants ont réussi à obtenir n'est pas véritablement précisé par RSA.