RSA victime d’un Etat-Nation

Actualités - Hack - Posté on 12 Oct 2011 at 11:53 par Solange Belkhayat-Fuchs

« Nous avons été victime d’une double attaque pilotée par un état nation » a déclaré le patron de RSA, Art Coviello, lors de la RSA Conference Europe qui se déroule actuellement à Londres. Ces propos, rapportés et analysés par Graham Clueley de Sophos, remettent sur le tapis la question de « l’APT » orchestrée par une Chine que tout le monde vise mais que personne ne veut nommer. Une APT surtout pratique d’un point de vue marketing, car s’il est risible qu’une entreprise se fasse « intruder » par un pdf forgé ou une feuille Excel empoisonnée, on ne peut sourire lorsque l’adversaire est dépeint sous les traits redoutables des espions de l’Empire du Milieu.

Véritable espionnage ou faux hacking d’amateur ? Pour Coviello, la marge de manœuvre est étroite. Comme le fait remarquer Clueley, il lui est impossible de nommer précisément la Chine. Symantec, en une autre occasion, l’a fait et a provoqué une riposte frisant l’incident diplomatique. Mais il ne lui est pas plus possible d’avouer une certaine porosité de ses propres défenses… RSA est en théorie une entreprise spécialisée dans la défense des informations et des systèmes d’information, et il est impensable qu’elle succombe sous les coups de truands qu’elle prétend savoir dompter. A cette question d’image de marque s’ajoute une longue série de catastrophes qui ont, en peu de temps, jalonné l’histoire des marchands de certificats. La proximité de la RSA Conference et du dépôt de bilan de Diginotar, lequel a rapidement remis en mémoire ‘l’epic fail’ de Comodo, de RSA, le vol de certificats Verisign destinés à certifier des pilotes Realtek et JMicron (ceux-là même qui ont servi au ver Stuxnet)… autant d’affaires qui ont très fortement terni l’image de marque des « autorités » de certification.

Les mantras d’invulnérabilité remontent à la surface et explosent à la figure de ceux qui les récitaient inlassablement. Petit à petit, les clients du monde de la sécurité apprennent à leur dépend qu’aucun outil de protection est invulnérable. Il aura fallu plus de 20 ans pour que la chose soit admise à propos des outils les moins chers et les plus répandus, les antivirus. La remise en cause des outils de filtrage/coupure (IDS/IPS/FW), légèrement plus coûteux, un peu moins « universels », n’en est qu’à ses débuts. Il faudra encore du temps pour que les systèmes « haut de gamme et très chers » soient à leur tour considérés « naturellement » comme faillibles. Il faudra également un certain temps pour que l’on résiste à l’envie de jeter le bébé avec l’eau du bain, ce que semble pourtant préconiser Moxie Marlinspike interviewé par Helen Messmer, de NetworkWorld. L’outil de protection est un mal nécessaire imparfait toujours préférable à l’absence totale d’outil de protection. Reste que les tentatives des principaux acteurs du milieu, qui tentent par tous les moyens de « refaire une virginité » à leur catalogue, n’a pour conséquence que de reculer la date de cette prise de conscience nécessaire. Que RSA ait été compromis par un perfide espion asiate*, un hacktiviste technoïde ou un gamin de 12 ans armé d’un Netbook d’entrée de gamme n’a strictement aucune importance. Ce qui est primordial, c’est d’attacher à un type de protection un niveau de confiance précis, qui en aucun cas ne peut atteindre 100%, par définition et par construction.

*ndlc Note de la correctrice : un espion asiate est toujours perfide comme une soubrette est toujours accorte et un serpent fourbe …

Laisser une réponse