L’équipementier américain Lockheed Martin a-t-il été trahi par ses jetons SecurID de RSA, clonés à la suite de l‘intrusion dont a été victime l’éditeur en mars dernier ? C’est en tout cas ce que croit savoir l’agence Reuters, citant une source inconnue.  « Les attaquants ont pénétré des systèmes de sécurité destinés à repousser les intrus, en créant des copies de clés SecurID de RSA » indique l’agence. La même source affirme par ailleurs que Lockheed ne serait pas le seul industriel militaire compromis dans cette opération, sans toutefois citer d’autres noms.

Du côté de RSA, en revanche, on tempère. La ligne publique de l’éditeur est de faire savoir qu’il travaille en collaboration avec Lockheed afin d’éclaircir les circonstances de l’attaque, mais que pour l’heure il serait prématuré de conclure à une faute des jetons SecurID. Et en privé, l’existence de la source de Reuters est même mise en doute.

Un article paru dans le New-York Times modère également la dépêche de Reuters. Il indique certes que l’équipementier a mis à jour ses jetons RSA, changé les codes PIN de ses utilisateurs à distance et augmenté la taille des codes générés par SecurID. Mais sa propre source anonyme semble plus mesurée : elle indique simplement « qu’on ne peut pas exclure » un lien entre l’attaque chez RSA et l’intrusion chez Lockheed Martin. Et l’article précise que l’équipementier a d’ailleurs annoncé vouloir continuer à utiliser la solution SecurID.

La question demeure donc entière : l’intrusion dans les systèmes de RSA au mois de mars dernier a-t-elle offert aux pirates l’accès au saint des saints : une éventuelle base de données, chez RSA, qui conserverait l’association du numéro de série des jetons vendus avec leurs seeds records (la clé secrète unique à partir de laquelle le jeton génère les mots de passe à usage unique qui sont sa raison d’être)

Ceci expliquerait bien entendu sans difficulté l’intrusion chez Lockheed Martin et probablement d’autres à venir. Car armé des seeds records et des numéros de série des jetons visés (ces derniers n’étant pas censés être secrets), un attaquant est en mesure de dupliquer n’importe quel jeton. Il ne lui reste alors plus qu’à obtenir le code PIN du salarié imité, ce qui est extrêmement simple en observant un login de la victime. On comprend mieux pourquoi peu après l’attaque de mars dernier de nombreux grands clients de RSA (dont Lockheed Martin d’après le New-York Times) ont mis à jour leurs jetons (afin d’avoir de nouvelles seeds records) et en ont profité pour renforcer les mots de passe associés.

Rien ne prouve à l’heure actuelle qu’une telle base de donnée existe chez RSA, mais la suspicion est légitime. Et si elle existe, cette base est-elle globale ? Pour certains clients seulement ? Conserve-t-elle chaque seed individuelle ou plutôt une « master seed » dont celle des jetons est mathématiquement dérivée au moment de leur fabrication. Nul ne le sait à ce jour. Ce qui est en revanche certain c’est que la fuite des seeds sous n’importe quelle forme serait, pour RSA et ses vingt-cinq mille clients, une très mauvaise nouvelle.