Deloitte : déjà les premières questions
Il n’aura pas fallu une journée après la révélation de l’incident de sécurité qui a frappé le cabinet de conseil et d’audit pour qu’émergent les premières interrogations sur ses pratiques de sécurité.
C’est ce lundi 25 septembre que nos confrères du Guardian ont révélé la nouvelle : Deloitte a été victime d’une attaque informatique ayant conduit au vol de courriels et d’informations confidentielles de certains de ses clients. Six d’entre eux ont été informés de cet incident qui aurait duré plusieurs mois, d’octobre 2016 à mars 2017. Le point de départ de l’intrusion serait un compte administrateur non protégé par authentification à facteurs multiples.
Pour beaucoup, cet incident montre à nouveau, s’il en était encore besoin, que nul n’est à l’abris d’une attaque informatique. Historiquement, on se souviendra d’ailleurs du malheureux exemple de RSA en la matière.
Mais même pour lui, certains ne s’étaient pas montrés tendres. Avivah Litan, analyste chez Gartner, ne s’était pas privée d’égratigner les procédures de sécurité en place chez le spécialiste : « RSA commercialise son propre système de détection de fraude, basé sur le profiling des utilisateurs et de leurs comptes, via des modèles statistiques bayésiens, et sur des règles, afin de détecter les comportements anormaux et intervenir en temps réel pour ré-authentifier les utilisateurs et vérifier l’authenticité des accès, comportements ou transactions suspects ».
Et aujourd’hui, Deloitte, classé premier fournisseur de services de conseil en sécurité par Gartner pour la 5e année consécutive, a lui aussi des airs de cordonnier bien mal chaussé.
Hier, Kevin Beaumont épinglait ainsi la configuration du service d’interface Web du serveur Exchange de Deloitte, permettant d’accéder sur Internet à son centre d’administration. Mais ce n’est pas tout : dans le nuit, le chercheur Dan Tentler a découvert un système connecté à l’infrastructure du cabinet de conseil et d’audit exposant son service RDP sur Internet.
'a;sljfasdfjadjaserfaweakjwtgfaehasrhfasd;laksfkasrohawghasedjas;faskdga'seraowhjasjdfasdlfasgajhsdfjarfhoae;ahd pic.twitter.com/54O2PDy7zV
— Dan Tentler (@Viss) September 25, 2017
En tout, selon lui, il faudrait compter avec plus de 12 000 hôtes liés à Deloitte et annonçant des services en ligne. Et cela passe notamment par des services FTP, mais surtout par des serveurs SSH obsolètes et pour certains aux vulnérabilités connues, ou encore des services Telnet, NetBIOS, Kerberos et LDAP. Non sans ironie, Kevin Beaumont estime que Deloitte « devrait prendre un auditeur ».
Deloittes’ US offices have everything from Netbios to RDP to Exchange Admin (single factor) etc etc etc. They should get an auditor. pic.twitter.com/C8aoN5YQMn
— Kevin Beaumont 🙃 (@GossiTheDog) September 25, 2017
Et il y a peut-être du vrai là-dedans. Pour certains experts français, comme Jérôme Saiz, il n’est ainsi pas impossible que Deloitte ait privilégié concentrer l’activité de ses experts en sécurité informatique sur des prestations aux clients, plutôt que de mettre à profit leur expertise en interne. Quitte à en faire les frais aujourd’hui.
Selon une source interne de notre confrère Brian Krebs, Deloitte ne serait pas encore pleinement sûr d’avoir bouté les attaquants hors de son système d’information. Surtout, selon cette même personne ayant requis l’anonymat, les pirates « ont accéder à toute la base de données d’e-mail, et à tous les comptes administrateurs ».
A ce stade, Deloitte n’a toujours pas répondu à nos demandes de commentaires. Mais sur son site Web, le cabinet assure que « l’analyse de la plateforme [de messagerie compromise] est finalisée » et qu’il a « compris précisément quelles informations étaient menacées et ce que le pirate a effectivement fait ».