Maksim Kabakou - Fotolia
Deloitte victime d’une attaque ciblée
Le système de messagerie du cabinet de conseil a été compromis par le biais d’un compte administrateur. Les attaquants y ont eu accès pendant plusieurs mois. Seule une poignée de clients serait concernée.
Selon nos confrères du Guardian, le cabinet de conseil a été la victime d’une attaque informatique qui a conduit au vol de courriels et d’informations confidentielles de certains de ses gros clients. Six d’entre eux auraient été informés d’un incident passé inaperçu « durant des mois ». D’après nos confrères, c’est en mars que Deloitte a fait la découverte de l’intrusion à l’origine de cette compromission qui remonterait à l’automne 2016. Son point de départ serait un compte administrateur « du serveur de messagerie global de l’entreprise », protégé par un simple mot de passe, sans authentification à facteurs multiples.
Pour mémoire, Deloitte utilise le service Office 365 de Microsoft. En mars dernier, l’éditeur mentionnait d’ailleurs le cabinet parmi les « plus de 50 000 organisations qui ont commencé à utiliser Microsoft Teams ».
Selon le Guardian, les attaquants ont pu, à travers les e-mails, accéder à de nombreuses données sensibles de clients de Deloitte, notamment en matière de sécurité des systèmes d’information. Mais ils n’auraient pas été mesure de cacher leurs traces. Et les experts en sécurité de plusieurs bureaux de Deloitte aux Etats-Unis travaillent depuis le printemps à reconstituer le parcours des pirates. Ironie de la situation, Deloitte se vantait en juin dernier d’être classé premier fournisseur de services de conseil en sécurité par Gartner, pour la 5e année consécutive. Mais comme le relève Forrester, la practice conseil en sécurité informatique de Deloitte « ne s’occupe pas de la sécurité de Deloitte ».
— Kevin Beaumont 🙃 (@GossiTheDog) September 25, 2017
En attendant, les observations et commentaires commencent à affluer. Ken Beaumont relève ainsi que l’interface Web au serveur Exchange de Deloitte est facilement découvrable en ligne… une situation qui, si elle n’a rien d’étonnant, doit pousser à la mise en place de l’authentification à facteurs multiples.
Sollicité par la rédaction, Deloitte n’a pas répondu à nos demandes de commentaires au moment de la publication. Le cabinet n’a toujours pas publié de communication officielle sur l’incident.