Il semble que RSA ait attendu trois jours avant de dévoiler l’attaque dirigée contre SecurID. CA Technologies propose de son côté d’échanger gratuitement le token contre son propre système d’authentification.

RSA vient de communiquer le déroulement de l’attaque menée par des cyberpirates contre son réseau Ces derniers ont envoyé des pièces jointes excel à un certain nombre de salariés de l’éditeur. Intitulés habilement « 2011 recruitment plan.xls », ces fichiers exploitaient une faille inconnue dans le player Flash d’Adobe. Un des salariés, ignorant la plus élémentaire des règles de sécurité, a ouvert ladite pièce jointe permettant aux hackers de prendre le contrôle de sa machine, puis d’accéder via l’outil d’administration à distance PoisonIvy dans le réseau et d’y récupérer des informations confidentielles, notamment celles concernant des utilisateurs du système de sécurisation SecurID.

Le plus gênant dans cette histoire c’est que le 14 mars, soit trois jours avant que RSA ne signale l’attaque, Adobe avait publié une information signalant la faille ainsi que son utilisation par des pirates à travers un fichier xls, ce qui laisse supposer que la filiale d’EMC était déjà au courant du problème. Un manque de transparence qui jette une ombre sur l’ampleur (éventuelle) des dégâts.

Un manque de transparence exploité par CA Technologies. L’éditeur new-yorkais propose en effet aux utilisateurs de tokens RSA SecurID d’échanger ce produit contre son propre identifiant logiciel sécurisé CA ArcotID.

Pour chaque token RSA SecurID, il fournit gratuitement une licence « Entreprise » de 3 ans de sa solution logicielle et de son serveur d’authentification CA Arcot WebFort, seuls les coûts de maintenance restant à la charge du client. Ce programme de migration est effectif jusqu’au 30 septembre 2011.

« Les tokens matériels sont clairement une technologie du passé. Ils nécessitent de transporter un appareil qui – aussi petit soit-il – impose une contrainte inadaptée aux exigences actuelles de mobilité. De surcroît, en cas de faille de sécurité, les mesures correctives à mettre en œuvre se révèlent généralement d’une lourdeur écrasante », explique dans un communiqué Ram Varadarajan, directeur général des Solutions de Sécurité CA Arcot chez CA Technologies.

.