après l’attaque informatique subie par la société RSA, des utilisateurs de clés OTP sont invités à la vigilance


article de la rubrique Big Brother > base élèves
date de publication : samedi 21 mai 2011
version imprimable : imprimer


La société RSA SecureID a annoncé le 17 mars 2011 avoir subi une cyber-attaque sophistiquée qui a permis aux attaquants d’extraire certaines informations relatives au système SecurID. Le président exécutif de RSA écrit dans une lettre ouverte adressée à ses clients : « nous pensons que l’information piratée ne permet pas de mener avec succès une attaque directe contre l’un de nos clients RSA SecurID, mais l’information dérobée pourrait être utilisée pour réduire l’efficacité de l’authentification ».

Parmi ces clients se trouve le ministère de l’Education nationale notamment pour Base élèves et Sconet. Afin de contrôler l’accès à Base élèves 1er degré, le ministère de l’Education nationale remet une « clé OTP » à chaque directeur d’école ce qui lui permet de se connecter à Base élèves et d’y entrer des données de ses élèves. A la suite de l’attaque informatique dont la société RSA a fait l’objet, les utilisateurs de clés OTP de l’Académie de Nantes ont été invités à être particulièrement vigilants sur la sécurité (voir ci-dessous).

Après nous avoir asséné de façon péremptoire que « toutes les garanties de sécurité sont prises », les responsables de Base élèves pourront prendre conscience de la vulnérabilité du système de protection et de la complexité des problèmes de sécurisation.

[Mis en ligne le 31 mars 2011, mis à jour le 21 mai 2011]



JPEG - 8.2 ko
clé OTP

RSA (SecurID) victime d’une intrusion : 40 millions de clients concernés

[ ZDNet France, le 18 mars 2011]


Sécurité - L’entreprise américaine a reconnu avoir été touchée par une attaque très sophistiquée durant laquelle ont été dérobées des informations sur son système d’authentification utilisé par 40 millions de clients.

Dans une lettre ouverte à ses clients, RSA a révélé hier avoir été victime d’une attaque informatique très sophistiquée au cours de laquelle des informations sensibles ont été dérobées. « Certaines de ces informations concernent spécifiquement les produits d’authentification SecurID », écrit Arthur Coviello, le P-DG de RSA.

Il n’a pas donné plus de détails mais a indiqué que même si les données dérobées ne pouvaient pas permettre une attaque directe contre un client utilisant SecurID, elles peuvent «  potentiellement être exploitées » pour compromettre l’efficacité du système d’authentification.

Système d’authentification potentiellement compromis

Ce système repose sur un token, un module électronique détenu par les utilisateurs qui génère un code à 6 chiffres modifié toutes les minutes et qui doit être associé à un mot de passe pour donner accès à un réseau.
SecurID est aujourd’hui utilisé par 40 millions de clients, notamment dans les transactions financières et par les administrations. En France, l’Éducation Nationale y a recours [...].

L’authentification forte par clé OTP [1]

Une clé d’authentification permet de s’assurer que la personne qui utilise cette clé possède l’autorisation d’accéder au système d’information. Une identification « classique » repose sur un identifiant et un mot de passe. Pour une authentification « forte », le mot de passe dépend d’un numéro qui change en permanence (une fois par minute) : lorsque les 6 chiffres de la clé ont été utilisés pour une authentification, ils ne sont pas réutilisables et il faut attendre la série suivante de chiffres pour pouvoir réutiliser la clé. D’où le terme OTP – One Time Password – qui signifie « mot de passe à usage unique ».

Problème : à l’occasion d’une cyber-attaque, la société RSA s’est fait dérober des informations importantes sur la technologie mise en oeuvre. D’après les déclarations de la société, les informations dérobées ne permettent pas des attaques directes contre les utilisateurs de cette technologie, mais elles pourraient être utilisées pour diminuer l’efficacité de l’authentification forte dans le cadre d’une attaque plus large.

Dans le monde, plus de 40 millions d’employés utilisent cette technologie quotidiennement. En France, les clés OTP sont utilisés en interne par des institutions comme l’Éducation Nationale ou des sociétés comme Air France.

_______________________________

La lettre suivante, datée du 29 avril 2011, a été adressée par le responsable de la sécurité des systèmes d’information de l’Académie de Nantes aux utilisateurs de clés OTP.

Objet : Sécurité des clés OTP

Madame, Monsieur,

Vous êtes utilisateur d’une clé OTP de marque RSA. La société RSA a fait l’objet d’une attaque informatique au mois de mars 2011. Cette tentative d’intrusion montre que les pirates n’hésitent pas à s’attaquer aux dispositifs d’authentification forte. C’est pourquoi, il me paraît important de vous rappeler quelques règles simples de sécurité concernant l’usage des clés OTP.

La force de la clé OTP réside dans le procédé de régénération du code d’authentification à chaque minute, ce qui rend vaines les tentatives de vol du mot de passe. Par contre, deux éléments confidentiels pourraient vous être dérobés, il s’agit du code PIN constitué de 4 chiffres et du numéro de série qui figure au dos de votre clé.

Recommandations concernant votre clé OTP :

  • Ne notez pas votre code PIN à proximité de votre clé ;
  • Ne laissez pas votre clé sans surveillance, ne la prêtez pas ;
  • Ne communiquez à personne votre code PIN, votre numéro de série ou le code généré par la clé et ce sous aucun prétexte.

Accordez une vigilance particulière, si ces éléments vous sont demandés par courriel, par formulaire ou par téléphone sous des prétextes de sécurité ou de maintenance. Aucun service de l’Éducation nationale, aucune autorité administrative ou judiciaire n’est autorisé à vous demander ce type d’informations. Si cela se produit, veuillez me le signaler par courrier électronique à l’adresse ****@ac-nantes.fr.

Je vous invite à consulter la rubrique « Personnels et recrutement » / « Services internet » pour vous renseigner plus avant sur les questions de sécurité des systèmes d’information. Vous y trouverez des informations et des conseils pour vous prémunir contre les personnes malveillantes.

Notes

[1Voir également
 : http://fr.wikipedia.org/wiki/SecurID


Suivre la vie du site  RSS 2.0 | le site national de la LDH | SPIP