Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

Contre le piratage, RSA va remplacer ses clés SecurID

Publié le

Quelques jours après une attaque contre Lockheed Martin, exploitant le système d'authentification forte SecurID, RSA propose à ses clients un échange de leurs "tokens" suspects. Il y en aurait plus de 40 millions en circulation dans le monde...

Contre le piratage, RSA va remplacer ses clés SecurID © RSA

Après 25 années de bons et loyaux services, les "tokens" SecurID de RSA, ces jetons de sécurité qui s'accrochent à un porte-clefs, ont-il du plomb dans l'aile ?... Tout en se montrant rassurant, Art Coviello, président de l'activité RSA d'EMC, rachetée en 2006, vient d'admettre dans une lettre ouverte un problème. Et un problème très sérieux, lié à "une cyber-attaque extrêmement sophistiquée" dont le groupe a été victime en mars.

"Suite à une attaque APT [Advanced Persistent Threat] assez vicieuse, qui s'apparente à un guet-apens, la sécurité du système a été compromise", estime Eric Domage, directeur études et conseil chez IDC. Il rappelle que "les tokens RSA sont des outils d'authentification forte multi-facteurs distribuant des codes dynamiques, utilisables une seule fois pour plus de sécurité."

Des milliers d'entreprises concernées

Outre une assistance de crise, le président de RSA (729,4 millions de dollars de chiffre d'affaires l'an dernier) propose un remplacement des "tokens" SecurID "aux clients avec des bases d'utilisateurs 'concentrées', typiquement centrés sur la protection de leur propriété intellectuelle ou de leurs réseaux d'entreprise. La proposition est plus opaque pour ceux qui ciblent le marché grand public avec "de grandes bases d'utilisateurs, dispersées géographiquement, typiquement pour protéger des transactions financières en ligne." Lesquels devront semble-t-il passer par d'autres systèmes d'authentification basés sur les risques.

Il faut dire que le remplacement des tokens SecurID ne sera pas une mince affaire. Le 8 octobre 2009, RSA affirmait avoir déjà distribué plus de 40 millions de jetons SecurID dans le monde. De multiples entreprises ont fourni ses jetons à leurs employés, parmi lesquels Lockheed Martin, mais aussi le ministère de l'Education nationale en France, qui en propose aux directeurs d'écoles pour accéder aux bases élèves, ou des grands groupes tels qu'EDF et Air France. Contactés, ces deux groupes n'ont pas pu nous répondre avant la publication de cet article.

Lockheed Martin premier visé

D'où vient le problème ? Les difficultés de RSA ont commencé il y a plusieurs mois. Dans un  message adressé à ses clients le 17 mars, Art Coviello a reconnu le vol sur le système d'information de la société d'informations liées au produit SecurID. Le 2 juin, les inquiétudes suscitées par cette intrusion ont tourné au cauchemar avec une attaque sur la société américaine d'armement et de technologie militaire Lockheed Martin. Une attaque dont le PDG indique aujourd'hui qu'elle aurait été montée à partir de certaines informations provenant de RSA, mais pas seulement.

Toutefois, Art Coviello tient à minimiser la portée "générale" de la menace en soulignant que l'attaque contre Lockheed Martin a été déjouée et que les objectifs des pirates étaient d'obtenir des informations classées secret défense. Et non d'obtenir un quelconque retour financier ou un intérêt du public... Il est  peu probable que cela suffira à rassurer les ministères et les grandes entreprises qui utilisent en nombre les jetons SecurID...

Selon Eric Domage, les seuls qui risquent de se réjouir de la découverte de cette faille de sécurité sont les concurrents de RSA. "Il est probable que certains vont y voir une opportunité de marché..."

Réagir à cet article

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle