Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Deloitte confirme avoir été piratée, mais manque de transparence

Faites ce que je dis, pas ce que je fais

Deloitte confirme avoir été piratée, mais manque de transparence

Le 26 septembre 2017 à 12h18

Comment réagir face à une cyberattaque ? C'est une des réponses que la société Deloitte se propose d'apporter aux entreprises. Elle a désormais l'occasion d'appliquer ses recommandations à elle-même... Une chose est sûre, elle ne fait pas preuve de la plus grande transparence.

Avec un chiffre d'affaires consolidé de 38,8 milliards de dollars sur son année fiscale 2017 (clôturée le 31 mai, en hausse de 2 milliards d'euros sur un an), Deloitte est l'un des plus gros cabinets d'audit et de conseil au monde. Il fait partie des « Big four » aux côtés d'Ernst & Young, KPMG et PricewaterhouseCoopers. La société propose son savoir-faire à de grands groupes et institutions.

Une partie de ses activités concerne les cybermenaces. « Depuis quelques années, la question n’est plus de savoir si vous subirez des cyberattaques, mais plutôt quand elles se produiront et quelle sera leur ampleur » explique à juste titre la société sur son site. Et elle ne croyait certainement pas si bien dire. 

En effet, nos confrères du Guardian révèlent qu'elle a été victime d'une cyberattaque « passée inaperçue depuis des mois », avec une fuite de données personnelles de certains de ses clients. La société confirme, mais ne communique que du bout des lèvres, principalement pour minimiser la portée de cet incident.

Un accès administrateur au serveur email... entre autres

Selon nos confrères, le ou les pirates ont eu accès au serveur email de la société (hébergé sur Azure Cloud Service de Microsoft) avec un compte administrateur, leur permettant potentiellement de récupérer cinq millions de messages qui y seraient stockés. Puisque la société propose des conseils dans de nombreux domaines (cybersécurité, acquisition, fiscalité, stratégie, etc.) on peut facilement imaginer les données extrêmement sensibles pouvant s'y trouver.

Le Guardian ajoute que l'accès au compte administrateur n'était protégé que par un mot de passe, sans une seconde étape d'identification, alors que c'est désormais considéré comme une protection de base, surtout pour des données aussi sensibles. Ce n'est pas tout, nos confrères en rajoutent encore une couche : les pirates auraient également pu accéder à des noms d'utilisateurs, mot de passe, adresse IP et architecture réseau de chez Deloitte. Seule bonne nouvelle dans ce déluge : les fuites de données ne concerneraient que les États-Unis.

La faille aurait été découverte en mars de cette année, mais les pirates auraient eu accès aux données depuis octobre ou novembre de l'année dernière, toujours selon les informations du Guardian. Hasard ou non du calendrier, Deloitte aurait demandé à ses employés américains de réinitialiser leur mot de passe en octobre 2016, comme le rapporte Brian Krebs sur son blog.

« Très peu de clients » concernés selon Deloitte

Deloitte n'a pour le moment fait aucune annonce officielle sur son site (ni sur les réseaux sociaux), mais a tout de même apporté des éléments de réponse à plusieurs de nos confrères, dont The Guardian et Reuters.

Dans les deux cas, elle confirme avoir été victime d'une cyberattaque, mais précise que « très peu de clients » sont concernés, sans détails supplémentaires. Tout juste savons-nous qu'ils ont été contactés. Le mutisme du cabinet ne s'arrête pas là : si des autorités compétentes ont évidemment été contactées après cette découverte, nous ne saurons pas lesquelles. 

Deloitte a évidemment procédé à un examen des traces laissées par le ou les pirates et affirme que les données exposées ne représenteraient qu'une « très petite partie » de ce qui a été annoncé... là encore sans donner aucun détail supplémentaire sur leur nombre. Les auteurs de cette cyberattaque ne sont pas encore connus.

De son côté, le Guardian indique qu'au moins six clients Deloitte auraient été informés par le cabinet d'un risque de fuite. La société ajoute par contre qu'il n'y a eu aucune interruption de service. De plus, suite à cette découverte, un « protocole de sécurité complet » a été mis en place avec l'aide d'experts internes et externes. 

A-t-elle mis près de six mois à mettre en lumière ce piratage, comme le rapporte The Guardian ? Deloitte n'apporte aucune réponse sur ce point. Selon Brian Krebs (citant une source proche du dossier), le cabinet ne saurait pas encore avec exactitude comment et quand se sont déroulés les faits. Pire, « les enquêteurs ne sont pas certains d'avoir expulsé les intrus du réseau », deux éléments à confirmer bien évidemment. Le problème étant que Deloitte ne donne pas d'information précise sur ces points. 

Une cyberattaque ? Quelle cyberattaque ?

Cette cyberattaque permet de voir en pratique comment Deloitte applique ses propres conseils. Sur son site, elle explique les grandes pistes : « Lorsque vous êtes victime d’une cyberattaque, vous devez pouvoir réagir rapidement, mobiliser les bonnes personnes, isoler l’incident et réparer tout dommage avec le moins de perturbations possible ».

À y regarder de plus près, on se rend compte que la transparence n'est pas vraiment une priorité dans le cas présent. Si Deloitte a donné des précisions à plusieurs de nos confrères, il s'agissait surtout pour l'entreprise de jouer les pompiers en affirmant que la portée est bien moins importante que ce que laisse entendre The Guardian. Par contre, aucune trace de cette missive sur les réseaux sociaux ou dans les communiqués de presse.

La transparence est pourtant un élément important menant à la confiance, comme l'explique elle-même la société sur son site Equation de la confiance : « Il devient nécessaire pour les organisations de répondre aux attentes de leurs parties prenantes en matière de transparence tout en préservant leurs orientations stratégiques ou leurs informations confidentielles. Cette tendance rend impérative la maîtrise des nouveaux canaux. Et si les interlocuteurs de l’entreprise étaient plus sensibles à un message sincère, fiable et juste qu’à une abondance de signaux ? » Visiblement plus facile à dire qu'à faire...

Commentaires (43)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Faut-il y voir ici une preuve du manque de sérieux de certaines prestations de consulting ?

votre avatar

Ça se saurait ! <img data-src=" />

votre avatar







kwak-kwak a écrit :



Faut-il y voir ici une preuve du manque de sérieux de certaines prestations de consulting ?







<img data-src=" />

A trouzmille euros la journée… <img data-src=" /> bravo !!



A+


votre avatar

Bref les pirates avaient accès à tout surtout pendant un très long laps de temps.&nbsp;



<img data-src=" />



ça fait un peu tâche…

votre avatar

“Lorsque vous êtes victime d’une&nbsp;cyberattaque, vous devez pouvoir&nbsp;réagir rapidement, mobiliser les bonnes&nbsp;personnes, isoler l’incident et réparer tout&nbsp;dommage avec le moins de perturbations&nbsp;possible”&nbsp;Mon dieu, quelle révélation. Sans eux, on y aurait pas pensé <img data-src=" />

votre avatar







ndjpoye a écrit :



“Lorsque vous êtes victime d’une cyberattaque, vous devez pouvoir réagir rapidement, mobiliser les bonnes personnes, isoler l’incident et réparer tout dommage avec le moins de perturbations possible” Mon dieu, quelle révélation. Sans eux, on y aurait pas pensé <img data-src=" />



En même temps c’est le but d’une boîte d’audit et de conseil : t’apprendre ce que tu savais déjà <img data-src=" />


votre avatar

Il dit qu’il voit pas le rapport.

Il n’est bien surprenant qu’une structure de ce style (dont le business model intègre une confidentialité de ses données client) essaie de temporiser la transparence, le temps de diagnostiquer l’étendue du (potentiel) désastre. Qu’il y ait eu un défaut de moyen au niveau de la fonction support DSI/SSI, ça a l’air bien parti pour être le cas. Aucun rapport avec la qualité du métier (l’activité d’audit / consulting) proprement dit.

votre avatar



Big four



Quel rapport avec la poterie ?

votre avatar

C’est pas faux.



Voir même apprendre de toi, tout en te facturant la prestation biensur <img data-src=" />

votre avatar







sashimi a écrit :



Il dit qu’il voit pas le rapport.

Il n’est bien surprenant qu’une structure de ce style (dont le business model intègre une confidentialité de ses données client) essaie de temporiser la transparence, le temps de diagnostiquer l’étendue du (potentiel) désastre. Qu’il y ait eu un défaut de moyen au niveau de la fonction support DSI/SSI, ça a l’air bien parti pour être le cas. Aucun rapport avec la qualité du métier (l’activité d’audit / consulting) proprement dit.



Ce ne sont pourtant pas les conseils qu’ils prodiguent (on parle ici bien de la manière de communiquer, non de la manière de sécuriser son système informatique). Par ailleurs si le service mail d’une telle boîte est corrompu, il est urgent d’en informer les clients pour qu’ils sachent ce qui se ballade dans la nature et puissent à leur tour prendre les mesures nécessaires.


votre avatar

C’est toujours le cordonnier le plus mal chaussé.



Vendre des conseils pour blinder son SI et ne pas être capable de sécuriser le sien, ça la fout mal quand même.

votre avatar

C’est la faute à un consultant en stage chez eux <img data-src=" />

votre avatar

5 millions de messages… C’est à la limite de l’inexploitable… Serait peut-être temps de faire le ménage non…



Après c’est pas choquant qu’une boite comme ça minimise les dégâts… Sont pas fous non plus. N’importe quelle boite en ferait autant.

votre avatar







WereWindle a écrit :



Maintenant vous me rendez mon chien !







<img data-src=" />


votre avatar







PtiDidi a écrit :



Ca serait les Big Fours



J’ai la flemme de chercher le lien lmgtfy donc voila :en.wikipedia.org WikipediaIl était dans la news ce lien, sous Big Four…

Mais bon, je vois que j’ai fait un four.. Je sortais de la news sur la francisation, ça me paraissait approprié <img data-src=" />


votre avatar







kwak-kwak a écrit :



Ce ne sont pourtant pas les conseils qu’ils prodiguent (on parle ici bien de la manière de communiquer, non de la manière de sécuriser son système informatique). Par ailleurs si le service mail d’une telle boîte est corrompu, il est urgent d’en informer les clients pour qu’ils sachent ce qui se ballade dans la nature et puissent à leur tour prendre les mesures nécessaires.





Encore faut-il que les clients puisse payer cette information


votre avatar







razibuzouzou a écrit :



5 millions de messages… C’est à la limite de l’inexploitable… Serait peut-être temps de faire le ménage non…





Tu tape une recherche après “fusion-acquisition” ,&nbsp; tu sais rapidement ce qui se trame, t’achète des parts dans les entreprises concernées, et t’attends tranquille quelques mois


votre avatar







ndjpoye a écrit :



C’est pas faux.



Voir même apprendre de toi, tout en te facturant la prestation biensur <img data-src=" />



Oui ca arrive aussi <img data-src=" />







WereWindle a écrit :



[HS]

C’est un consultant en vadrouille à la campagne qui s’arrête à côté d’un berger.

“ Je vous propose quelque chose mon bon Monsieur : si je vous donne exactement la taille de votre pâture et le nombre de têtes dans votre troupeau, vous me donnez un de vos moutons.




  • Chiche, répond le berger

    Le consultant sort son pc portable, tapote un moment sort une carte GPS et pond un joli PowerPoint.

  • Vous avez 22 moutons et 30 brebis qui paissent sur une zone de 2 hectares.



    Sûr qu’il est de son fait, il embarque une des bestioles sous son bras.



  • Et si moi je devine votre métier, vous me rendez ma bête ?

  • Allez chiche ! répond le consultant.

  • Z’êtes un consultant, Monsieur

  • mais comment ? demande-t-il, abasourdi.

  • Vous vous pointez ici alors que personne ne vous a appelé pour me dire des trucs que je sais déjà, le tout en feignant être expert dans le domaine et en demandant un paiement pour le moins important.

    Maintenant vous me rendez mon chien !

    [/HS]



    C’est exactement ca <img data-src=" />









    Ricard a écrit :



    <img data-src=" /> Le Big Four, c’est Metallica, Megadeath, Slayer et Anthrax. Epicétout.<img data-src=" />



    Le Big Four, c’était plutôt à l’époque des Nazi <img data-src=" />


votre avatar

Je parlais de l’admin !! Pas moi, petit gredin. D’ailleurs il y a même les conversations skype sur outlook maintenant alors à part le téléphone…. et encore…

votre avatar

Et ils ont réussi à faire 38 milliards de chiffre d’affaire… A ouais… ça fait cher la consultation….

votre avatar

<img data-src=" />



Et c’est drôle parce que, les trois quarts du temps, c’est vrai.

votre avatar







graphseb a écrit :



<img data-src=" />



Et c’est drôle parce que, les trois quarts du temps, c’est vrai.





bah c’est de la source sûre : je l’ai apprise directement d’un consultant Ernst & Young <img data-src=" />


votre avatar

Je pense que quand tu n’as pas travaillé en société de service, c’est difficile de s’imaginer le fossé entre l’image de l’entreprise chez les clients et ce qu’il se passe en interne.



J’en ai connu qui installaient des infras hors de prix et dans lesquelles on luttait pour monter un pc avec des pièces reconditionnées, d’autres qui vendent de la sécu +++ avec des gens qui avaient super rapidement accès aux données des clients, d’autres qui vendaient de l’ITIL et compagnie et qui n’avaient eux-mêmes pas d’outil de suivi des tickets…. Mais bon c’est pas ton entreprise que tu factures donc l’infra interne, tant que ça tourne personne ne met les mains dedans.

votre avatar

Ouais, ou les médecins qui fument…

votre avatar

De toute façon, ce genre de boîtes c’est 100% de l’esbrouffe, et y’a qu’à voir le résultat…

votre avatar







WereWindle a écrit :



[HS]

C’est un consultant en vadrouille à la campagne qui s’arrête à côté d’un berger.

[…]

Maintenant vous me rendez mon chien !

[/HS]





Je la connaissait sous une forme différente où on ne savait que le type est consultant que tout à la fin, je la trouvais encore meilleure. Dans la mienne, le type était aussi polytechnicien, histoire de cumuler un peu.


votre avatar







Zerdligham a écrit :



Je la connaissait sous une forme différente où on ne savait que le type est consultant que tout à la fin, je la trouvais encore meilleure. Dans la mienne, le type était aussi polytechnicien, histoire de cumuler un peu.





c’était très probablement le cas de la mienne aussi et je l’aurais modifiée sans le vouloir, perdant effectivement un bout de l’effet comique <img data-src=" />


votre avatar



Une partie de ses activités concerne les cybermenaces. « Depuis quelques années, la question n’est plus de savoir si vous subirez des cyberattaques, mais plutôt quand elles se produiront et quelle sera leur ampleur » explique à juste titre la société sur son site. Et elle ne croyait certainement pas si bien dire.



En effet, nos confrères du Guardian révèlent qu’elle a été victime d’une cyberattaque « passée inaperçue depuis des mois », avec une fuite de données personnelles de certains de ses clients. La société confirme, mais ne communique que du bout des lèvres, principalement pour minimiser la portée de cet incident.



<img data-src=" />

Sortez un parapluie, je prédis un déluge de têtes

votre avatar

[HS]

C’est un consultant en vadrouille à la campagne qui s’arrête à côté d’un berger.

“ Je vous propose quelque chose mon bon Monsieur : si je vous donne exactement la taille de votre pâture et le nombre de têtes dans votre troupeau, vous me donnez un de vos moutons.




  • Chiche, répond le berger

    Le consultant sort son pc portable, tapote un moment sort une carte GPS et pond un joli PowerPoint.

  • Vous avez 22 moutons et 30 brebis qui paissent sur une zone de 2 hectares.



    Sûr qu’il est de son fait, il embarque une des bestioles sous son bras.



  • Et si moi je devine votre métier, vous me rendez ma bête ?

  • Allez chiche ! répond le consultant.

  • Z’êtes un consultant, Monsieur

  • mais comment ? demande-t-il, abasourdi.

  • Vous vous pointez ici alors que personne ne vous a appelé pour me dire des trucs que je sais déjà, le tout en feignant être expert dans le domaine et en demandant un paiement pour le moins important.

    Maintenant vous me rendez mon chien !

    [/HS]

    Pour en revenir à l’actu, ils sont renommés pour la partie SI, Deloitte ? De mon temps, c’était surtout pour de l’audit ou du conseil financier qu’on les appelait.

votre avatar

Avec 244 000 employés dans le monde, ça ne fait que 20 mails par employé.



Comme il ne s’agit que des employé US, mon calcul est faux, mais même 5 à 6 fois plus de messages par employés, ça reste raisonnable.

votre avatar

Ben, cette boîte fait partie des Big Four c’est tout..

C’est comme si on précisait que Microsoft faisait partie des GAFAM..



C’est une information en plus

votre avatar







PtiDidi a écrit :



Ben, cette boîte fait partie des Big Four c’est tout..





<img data-src=" /> Le Big Four, c’est Metallica, Megadeath, Slayer et Anthrax. Epicétout.<img data-src=" />


votre avatar







WereWindle a écrit :



[HS]

C’est un consultant en vadrouille à la campagne qui s’arrête à côté d’un berger.

“ Je vous propose quelque chose mon bon Monsieur : si je vous donne exactement la taille de votre pâture et le nombre de têtes dans votre troupeau, vous me donnez un de vos moutons.




  • Chiche, répond le berger

    Le consultant sort son pc portable, tapote un moment sort une carte GPS et pond un joli PowerPoint.

  • Vous avez 22 moutons et 30 brebis qui paissent sur une zone de 2 hectares.



    Sûr qu’il est de son fait, il embarque une des bestioles sous son bras.



  • Et si moi je devine votre métier, vous me rendez ma bête ?

  • Allez chiche ! répond le consultant.

  • Z’êtes un consultant, Monsieur

  • mais comment ? demande-t-il, abasourdi.

  • Vous vous pointez ici alors que personne ne vous a appelé pour me dire des trucs que je sais déjà, le tout en feignant être expert dans le domaine et en demandant un paiement pour le moins important.

    Maintenant vous me rendez mon chien !

    [/HS]





    <img data-src=" /><img data-src=" /><img data-src=" />


votre avatar

On peut être parmi les plus grands et merder, c’est pas incompatible.

votre avatar

Je sens qu’on va se “marrer” avec la RGPD en mai…

votre avatar







uzak a écrit :



Quel rapport avec la poterie ?







Le rapport c’est que ce sont ces boites qui viennent chez toi contrôler que tu est aux normes niveau sécu info. La du coups c’est comme un diététicien obèse.


votre avatar

Le nombre de mails ziratés n’est pas important en soit, ce qui l’est plus c’est l’information qui est dedans.

<img data-src=" />

Il te suffit de choper l’email de l’admin qui envoie le mot de passe du Vcenter au nouveau pour que patatra… c’est la caca, la caca, la catastrophe !

Désolé je me suis refait les 3 frères il y a 3 jours…

votre avatar







PtiDidi a écrit :



Ben, cette boîte fait partie des Big Four c’est tout..

C’est comme si on précisait que Microsoft faisait partie des GAFAM..



C’est une information en plus





Ouias, mais four à gaz ou four à bois ?


votre avatar







swiper a écrit :



Le nombre de mails ziratés n’est pas important en soit, ce qui l’est plus c’est l’information qui est dedans.

<img data-src=" />

Il te suffit de choper l’email de l’admin qui envoie le mot de passe du Vcenter au nouveau pour que patatra… c’est la caca, la caca, la catastrophe !

Désolé je me suis refait les 3 frères il y a 3 jours…







tu envoies les mots de passe admin par mail ? <img data-src=" />


votre avatar



Et si les interlocuteurs de l’entreprise étaient plus sensibles à un message sincère, fiable et juste qu’à une abondance de signaux ? » Visiblement plus facile à dire qu’à faire…



ben pourtant ils suivent leurs recommandations là : pas d’abondance de signaux… en faisant le mort ils sont pile poil dans les clous <img data-src=" />

Ils restent sincère et fiable : ils ne savent encore rien, ils ne disent rien : CQFD.



<img data-src=" />



“Bonjour, je viens vous vendre du conseil en sécurité informatique, ça va vous coûter un bras mais vous pouvez avoir confiance en nous, nous sommes des pros….” <img data-src=" />

votre avatar

Ca serait les Big Fours



J’ai la flemme de chercher le lien lmgtfy donc voila :en.wikipedia.org Wikipedia

votre avatar

Il faut auditer le cabinet d’audit, puis auditer l’auditeur du cabinet d’audit, etc : monnaie infiniiiiiee <img data-src=" />

votre avatar

Pourquoi répondre cela à mon message qui avait un contexte que tu as manifestement ignoré ?

Deloitte confirme avoir été piratée, mais manque de transparence

  • Un accès administrateur au serveur email... entre autres

  • « Très peu de clients » concernés selon Deloitte

  • Une cyberattaque ? Quelle cyberattaque ?

Fermer