L’histoire complète du stupéfiant piratage de RSA peut enfin être racontée

Cet après-midi-là, Coviello a publié une lettre ouverte aux clients de RSA sur le site Web de la société. « Récemment, nos systèmes de sécurité ont identifié une cyberattaque extrêmement sophistiquée en cours », peut-on lire dans la lettre. « Bien qu’à l’heure actuelle, nous soyons convaincus que les informations extraites ne permettent pas une attaque directe réussie contre l’un de nos clients RSA SecurID, ces informations pourraient potentiellement être utilisées pour réduire l’efficacité d’une mise en œuvre actuelle de l’authentification à deux facteurs dans le cadre d’une attaque plus large », poursuit la lettre – minimisant quelque peu la crise.

À Bedford, M. Castignola s’est vu attribuer une salle de conférence et l’autorité de demander à l’entreprise autant de volontaires qu’il le souhaitait. Un groupe rotatif de près de 90 employés a commencé à organiser des appels téléphoniques individuels avec chaque client, un processus qui a duré des semaines, jour et nuit. Ils ont travaillé à partir d’un script, expliquant aux clients les mesures de protection à prendre, comme l’ajout ou l’allongement d’un code PIN dans le cadre de leurs connexions SecurID, afin de les rendre plus difficiles à reproduire par les pirates. M. Castignola se souvient avoir parcouru les couloirs du bâtiment à 22 heures et avoir entendu des appels sur des haut-parleurs derrière chaque porte fermée. Dans de nombreux cas, les clients criaient. Castignola, Curry et Coviello ont chacun passé des centaines de ces appels ; Curry a commencé à plaisanter en disant que son titre était « Chief Apology Officer ».

Au même moment, la paranoïa commençait à s’installer dans l’entreprise. La première nuit après l’annonce, Castignola se souvient être passé devant un placard de câblage et avoir vu un nombre absurde de personnes en sortir, bien plus qu’il n’aurait pu imaginer. « Qui sont ces gens ? » demande-t-il à un autre cadre à proximité. « C’est le gouvernement », a vaguement répondu le cadre.

En fait, le temps que Castignola atterrisse dans le Massachusetts, la NSA et le FBI avaient été appelés à participer à l’enquête de l’entreprise, tout comme l’entrepreneur de défense Northrup Grumman et la société de réponse aux incidents Mandiant. (Par hasard, des employés de Mandiant étaient déjà sur place avant la violation, installant des équipements de détection de sécurité sur le réseau de RSA).

Le personnel de RSA a commencé à prendre des mesures drastiques. Craignant que leur système téléphonique ne soit compromis, la société a changé d’opérateur, passant des téléphones AT&T à ceux de Verizon. Les cadres, ne faisant même pas confiance aux nouveaux téléphones, ont tenu des réunions en personne et partagé des copies papier de documents. Le FBI, craignant la présence d’un complice dans les rangs de RSA en raison du niveau apparent de connaissance que les intrus semblaient avoir des systèmes de l’entreprise, a commencé à vérifier les antécédents. « J’ai fait en sorte que tous les membres de l’équipe – peu importe qui ils étaient, quelle était leur réputation – fassent l’objet d’une enquête, parce qu’il faut être sûr », dit Duane.

Les fenêtres des bureaux et des salles de conférence de certains cadres ont été recouvertes de plusieurs couches de papier de boucherie, afin d’empêcher la surveillance par microphone laser – une technique d’écoute à longue distance qui capte les conversations à partir des vibrations des vitres – par des espions imaginaires dans les bois environnants. Le bâtiment a été balayé à la recherche de micros. Plusieurs cadres ont insisté sur le fait qu’ils avaient trouvé des dispositifs d’écoute cachés, bien que certains soient si vieux que leurs piles étaient mortes. Il n’a jamais été clair si ces mouchards avaient un rapport avec la violation.

Pendant ce temps, l’équipe de sécurité de RSA et les enquêteurs appelés à l’aide étaient en train de « démolir la maison jusqu’aux montants », comme l’a dit Curry. Dans chaque partie du réseau que les pirates ont touché, dit-il, ils ont nettoyé le contenu des machines potentiellement compromises – et même celles qui étaient adjacentes. « Nous avons fait le tour physiquement et, s’il y avait une boîte sur laquelle ils se trouvaient, elle était effacée », dit Curry. « Si vous avez perdu des données, tant pis ».