Pour le FBI, le groupe Nasdaq OMX serait une cible facile pour des pirates expérimentés. Une source proche du dossier citée par l'agence de presse Reuters a même identifié certains points de faiblesses particulièrement éloquents. Premier point, la plupart des postes utilisés seraient munis de logiciels ne disposant pas de mises à jour, la plupart des pare-feu ne seraient pas correctement configurés. Enfin, des patchs de sécurité chargés de combler certaines vulnérabilités n'auraient jamais été installés... La source en question évoque même la présence de versions de Microsoft Office Server datant de 2003 et non mises à jour.
De son côté, Nasdaq OMX ne souhaite pas imputer cette attaque à un manque global d'attention de la part de la société. Même si le FBI semble appeler les professionnels (particulièrement ceux de la Finance) à respecter une certaine « cyber-hygiène », le groupe explique qu'il s'agissait d'une attaque très sophistiquée, difficilement prévisible.
En effet, le malware identifié comme ayant servi pour l'attaque serait plutôt « complexe et insidieux » selon les personnes proches du dossier. Pour autant, des mesures de sécurité plus draconiennes auraient pu aider la société à détecter plus rapidement l'intrusion.
En octobre dernier, deux informateurs avaient déjà fait savoir que des logiciels malveillants avaient été installés consécutivement à l'attaque. Ces malwares auraient permis d'espionner les conseils d'administration de certaines sociétés cotées notamment via le programme baptisé « Directors Desk ». Ce dernier est particulièrement utilisé par des conseils d'administration de sociétés à des fins de communication interne ou de partage de documents.
Pour sa défense, la société a tenu à rappeler qu'elle était déjà soumise à un contrôle très strict de son activité. Elle explique également s'être conformée à tous les audits du gendarme américain de la bourse, la SEC (Securities and Exchange Commission).
