Cet après-midi, Coviello a publié une lettre ouverte aux clients de RSA sur le site Web de l’entreprise. «Récemment, nos systèmes de sécurité ont identifié une cyberattaque extrêmement sophistiquée en cours», lit-on dans la lettre. «Alors que pour le moment nous sommes convaincus que les informations extraites ne permettent pas une attaque directe réussie contre l’un de nos clients RSA SecurID, ces informations pourraient potentiellement être utilisées pour réduire l’efficacité d’une implémentation actuelle d’authentification à deux facteurs dans le cadre d’une stratégie plus large. attaque », poursuit la lettre, minimisant quelque peu la crise.

À Bedford, Castignola a reçu une salle de conférence et le pouvoir de solliciter autant de bénévoles de l’entreprise qu’il le fallait. Un groupe rotatif de près de 90 employés a commencé le processus de plusieurs semaines, jour et nuit, consistant à organiser des appels téléphoniques individuels avec chaque client. Ils ont travaillé à partir d’un script, guidant les clients à travers des mesures de protection telles que l’ajout ou l’allongement d’un code PIN dans le cadre de leurs connexions SecurID, pour les rendre plus difficiles à reproduire pour les pirates. Castignola se souvient avoir marché dans les couloirs du bâtiment à 22 heures et avoir entendu des appels sur des téléphones à haut-parleur derrière chaque porte fermée. Dans de nombreux cas, les clients criaient. Castignola, Curry et Coviello ont chacun fait des centaines de ces appels; Curry a commencé à plaisanter en disant que son titre était «chef des excuses».

Au même moment, la paranoïa commençait à s’installer dans l’entreprise. La première nuit après l’annonce, Castignola se souvient être passé devant un placard de câblage et avoir vu un nombre absurde de personnes en sortir, bien plus qu’il ne l’avait imaginé. « Qui sont ces gens? » demanda-t-il à un autre cadre à proximité. «C’est le gouvernement», a répondu vaguement l’exécutif.

En fait, au moment où Castignola avait atterri dans le Massachusetts, la NSA et le FBI avaient été appelés pour aider à l’enquête de la société, tout comme l’entrepreneur de défense Northrup Grumman et la société d’intervention en cas d’incident Mandiant. (Par hasard, les employés de Mandiant étaient déjà sur place avant la brèche, installant des équipements de capteurs de sécurité sur le réseau de RSA.)

Le personnel du RSA a commencé à prendre des mesures drastiques. Craignant que son système téléphonique ne soit compromis, la société a changé d’opérateur, passant des téléphones AT&T aux téléphones Verizon. Les dirigeants, ne faisant même pas confiance aux nouveaux téléphones, ont tenu des réunions en personne et partagé des copies papier des documents. Le FBI, craignant un complice dans les rangs du RSA en raison du niveau apparent de connaissance que les intrus semblaient avoir des systèmes de l’entreprise, a commencé à vérifier les antécédents. «Je me suis assuré que tous les membres de l’équipe – peu importe qui ils étaient, quelle réputation ils avaient – fassent l’objet d’une enquête, car il faut en être sûr», dit Duane.

Les fenêtres des bureaux et des salles de conférence de certains cadres étaient recouvertes de couches de papier de boucherie, pour empêcher la surveillance par microphone laser – une technique d’écoute à longue distance qui capte les conversations des vibrations dans les vitres – par des espions imaginaires dans les bois environnants. Le bâtiment a été balayé pour les insectes. Plusieurs dirigeants ont insisté sur le fait qu’ils avaient trouvé des appareils d’écoute cachés, même si certains étaient si vieux que leurs piles étaient épuisées. Il n’a jamais été clair si ces bogues avaient un lien avec la violation.

Pendant ce temps, l’équipe de sécurité de RSA et les enquêteurs amenés pour aider «démolissaient la maison jusqu’aux poteaux», comme l’a dit Curry. Dans chaque partie du réseau que les pirates ont touchée, dit-il, ils ont nettoyé le contenu des machines potentiellement compromises – et même celles qui leur sont adjacentes. «Nous avons physiquement fait le tour et, s’il y avait une boîte sur laquelle ils se trouvaient, elle a été essuyée», dit Curry. « Si vous avez perdu des données, tant pis. »