Deloitte : une sécurité en carton

Les cordonniers sont toujours les plus mal chaussés, dit l’adage. Malheureusement pour Deloitte, il ne s’agit pas de chaussure ici, mais plutôt de leurs données confidentielles. Le Guardian a ainsi révélé que le cabinet de consultant a été victime d’une attaque informatique ayant visé des serveurs mails de la société. Un piratage plutôt embarrassant tant ses échanges sont sensibles, mais le cabinet a dans un premier temps tenté de minimiser l’impact de celui-ci en expliquant que le nombre de mails touchés reste limité.

 


Mais selon des informations publiées par Brian Krebs, la faille pourrait avoir été bien plus large que prévu, ce qui expliquerait peut être le silence de Deloitte au sujet de cette affaire, qui n’est sortie sur la place publique que grâce aux efforts des journalistes du Guardian. Brian Krebs cite une source anonyme qui revient avec un peu plus de détails sur le piratage en question.

Selon lui, l’attaque n’aurait pas simplement visé un serveur de mail, mais la totalité des bases de données d’emails utilisées par Deloitte et les comptes administrateurs qui étaient liés à ces bases de données. Ainsi, la source de Brian Krebs mentionne l’exfiltration de plusieurs gigaoctets de données vers un serveur inconnu basé au Royaume-Uni.


Selon Brian Krebs, les informations récoltées par l’enquête interne de Deloitte ne lui ont pas encore permis de définir avec certitude du début de l’attaque ou de la portée exacte de celle-ci. Le flou semble régner du côté de Deloitte : selon le journaliste américain, la société ne sait pas exactement quels volumes de données ont pu être dérobés. Les équipes de Deloitte ne seraient ainsi pas encore en mesure d’affirmer que les cybercriminels à l’origine de l’attaque ont pu être entièrement écartés des systèmes informatiques du cabinet de consultants.

Ces informations n’ont pas été confirmées par Deloitte, mais l’annonce du piratage a mis en lumière les pratiques contestables du cabinet en matière de sécurité. Ainsi, une liste d’identifiants d’accès aux VPN internes de l’entreprise a été découverte hier sur un répertoire Github accessible au public. Un des employés de la société avait également mis en ligne ses identifiants sur son profil Google +, dans une section entièrement accessible au public.

Deloitte s’est également attiré les foudres de certaines sociétés de pentesting (tests d’intrusion) : le cabinet de consultant est en effet accusé de casser les prix sur ce marché en proposant des prestations à bas coût. Rien de surprenant donc à ce que de nombreux anonymes s’amusent aujourd’hui à repérer les erreurs du cabinet en matière de sécurité : plusieurs serveurs et machines appartenant à la société ont ainsi été détectés sur Internet et certaines d’entre elles présentent des failles de sécurité connues et du retard dans leurs mises à jour. Plusieurs chercheurs postent ainsi leurs découvertes sur Twitter et signalent plusieurs autres machines visiblement vulnérables.

ZDNet