Une mise au point essentielle, recueillie par un membre de SecurityVibes, éclaire un peu mieux les conséquences du piratage dont à récemment été victime RSA, la division sécurité d’EMC, si la clé secrète était effectivement volée. Selon ses informations, trois éléments entrent en compte dans une clé RSA :

• La clé secrète (volée)
• Le numéro de série du token (9 chiffres)
• L’heure qu’il est (connue de tout le monde)

D’après notre membre la clé secrète serait volée (ce que RSA n’a cependant pas confirmé officiellement), et il ne reste donc plus que le numéro de série du jeton pour protéger la solution. Il estime toutefois que l’entropie de ce numéro de série est beaucoup trop faible pour résister à une attaque. Certes une approche par force brute contre un accès web ou VPN serait trop bruyante (visible dans les journaux ou bloquée par les IPS), mais « si l’attaquant dispose d’une trace réseau contenant une authentification valide, il peut brute-forcer le numéro de série en local en quelques minutes« , explique-t-il.

Une fois la manoeuvre réussie, « l’attaquant dispose d’un ‘vrai faux’ token RSA indistingable de celui d’un utilisateur légitime« , conclue notre membre.

Ce qui fait dire à un autre membre SecurityVibes participant à la discussion que RSA pourrait désormais envoyer les jetons et les seeds de manière séparée, et ces derniers seront stockés sur un support chiffré. « Pour accéder à ce média, il faudra joindre directement RSA« , explique-t-il.

Mais l’histoire ne dit pas comment RSA protégera la clé d’accès à ce média chiffré…

Plus d’information :

• Une analyse détaillée (en anglais) qui conforte l’hypothèse du vol de la clé.