Deloitte  confirme avoir été piratée, mais manque de transparence

Deloitte confirme avoir été piratée, mais manque de transparence

Faites ce que je dis, pas ce que je fais

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

26/09/2017
43

Deloitte  confirme avoir été piratée, mais manque de transparence

Comment réagir face à une cyberattaque ? C'est une des réponses que la société Deloitte se propose d'apporter aux entreprises. Elle a désormais l'occasion d'appliquer ses recommandations à elle-même... Une chose est sûre, elle ne fait pas preuve de la plus grande transparence.

Avec un chiffre d'affaires consolidé de 38,8 milliards de dollars sur son année fiscale 2017 (clôturée le 31 mai, en hausse de 2 milliards d'euros sur un an), Deloitte est l'un des plus gros cabinets d'audit et de conseil au monde. Il fait partie des « Big four » aux côtés d'Ernst & Young, KPMG et PricewaterhouseCoopers. La société propose son savoir-faire à de grands groupes et institutions.

Une partie de ses activités concerne les cybermenaces. « Depuis quelques années, la question n’est plus de savoir si vous subirez des cyberattaques, mais plutôt quand elles se produiront et quelle sera leur ampleur » explique à juste titre la société sur son site. Et elle ne croyait certainement pas si bien dire. 

En effet, nos confrères du Guardian révèlent qu'elle a été victime d'une cyberattaque « passée inaperçue depuis des mois », avec une fuite de données personnelles de certains de ses clients. La société confirme, mais ne communique que du bout des lèvres, principalement pour minimiser la portée de cet incident.

Un accès administrateur au serveur email... entre autres

Selon nos confrères, le ou les pirates ont eu accès au serveur email de la société (hébergé sur Azure Cloud Service de Microsoft) avec un compte administrateur, leur permettant potentiellement de récupérer cinq millions de messages qui y seraient stockés. Puisque la société propose des conseils dans de nombreux domaines (cybersécurité, acquisition, fiscalité, stratégie, etc.) on peut facilement imaginer les données extrêmement sensibles pouvant s'y trouver.

Le Guardian ajoute que l'accès au compte administrateur n'était protégé que par un mot de passe, sans une seconde étape d'identification, alors que c'est désormais considéré comme une protection de base, surtout pour des données aussi sensibles. Ce n'est pas tout, nos confrères en rajoutent encore une couche : les pirates auraient également pu accéder à des noms d'utilisateurs, mot de passe, adresse IP et architecture réseau de chez Deloitte. Seule bonne nouvelle dans ce déluge : les fuites de données ne concerneraient que les États-Unis.

La faille aurait été découverte en mars de cette année, mais les pirates auraient eu accès aux données depuis octobre ou novembre de l'année dernière, toujours selon les informations du Guardian. Hasard ou non du calendrier, Deloitte aurait demandé à ses employés américains de réinitialiser leur mot de passe en octobre 2016, comme le rapporte Brian Krebs sur son blog.

« Très peu de clients » concernés selon Deloitte

Deloitte n'a pour le moment fait aucune annonce officielle sur son site (ni sur les réseaux sociaux), mais a tout de même apporté des éléments de réponse à plusieurs de nos confrères, dont The Guardian et Reuters.

Dans les deux cas, elle confirme avoir été victime d'une cyberattaque, mais précise que « très peu de clients » sont concernés, sans détails supplémentaires. Tout juste savons-nous qu'ils ont été contactés. Le mutisme du cabinet ne s'arrête pas là : si des autorités compétentes ont évidemment été contactées après cette découverte, nous ne saurons pas lesquelles. 

Deloitte a évidemment procédé à un examen des traces laissées par le ou les pirates et affirme que les données exposées ne représenteraient qu'une « très petite partie » de ce qui a été annoncé... là encore sans donner aucun détail supplémentaire sur leur nombre. Les auteurs de cette cyberattaque ne sont pas encore connus.

De son côté, le Guardian indique qu'au moins six clients Deloitte auraient été informés par le cabinet d'un risque de fuite. La société ajoute par contre qu'il n'y a eu aucune interruption de service. De plus, suite à cette découverte, un « protocole de sécurité complet » a été mis en place avec l'aide d'experts internes et externes. 

A-t-elle mis près de six mois à mettre en lumière ce piratage, comme le rapporte The Guardian ? Deloitte n'apporte aucune réponse sur ce point. Selon Brian Krebs (citant une source proche du dossier), le cabinet ne saurait pas encore avec exactitude comment et quand se sont déroulés les faits. Pire, « les enquêteurs ne sont pas certains d'avoir expulsé les intrus du réseau », deux éléments à confirmer bien évidemment. Le problème étant que Deloitte ne donne pas d'information précise sur ces points. 

Une cyberattaque ? Quelle cyberattaque ?

Cette cyberattaque permet de voir en pratique comment Deloitte applique ses propres conseils. Sur son site, elle explique les grandes pistes : « Lorsque vous êtes victime d’une cyberattaque, vous devez pouvoir réagir rapidement, mobiliser les bonnes personnes, isoler l’incident et réparer tout dommage avec le moins de perturbations possible ».

À y regarder de plus près, on se rend compte que la transparence n'est pas vraiment une priorité dans le cas présent. Si Deloitte a donné des précisions à plusieurs de nos confrères, il s'agissait surtout pour l'entreprise de jouer les pompiers en affirmant que la portée est bien moins importante que ce que laisse entendre The Guardian. Par contre, aucune trace de cette missive sur les réseaux sociaux ou dans les communiqués de presse.

La transparence est pourtant un élément important menant à la confiance, comme l'explique elle-même la société sur son site Equation de la confiance : « Il devient nécessaire pour les organisations de répondre aux attentes de leurs parties prenantes en matière de transparence tout en préservant leurs orientations stratégiques ou leurs informations confidentielles. Cette tendance rend impérative la maîtrise des nouveaux canaux. Et si les interlocuteurs de l’entreprise étaient plus sensibles à un message sincère, fiable et juste qu’à une abondance de signaux ? » Visiblement plus facile à dire qu'à faire...

43

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un accès administrateur au serveur email... entre autres

« Très peu de clients » concernés selon Deloitte

Une cyberattaque ? Quelle cyberattaque ?

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (43)


Le 26/09/2017 à 12h 28

Faut-il y voir ici une preuve du manque de sérieux de certaines prestations de consulting ?


Le 26/09/2017 à 12h 30

Ça se saurait ! <img data-src=" />


Le 26/09/2017 à 12h 30







kwak-kwak a écrit :



Faut-il y voir ici une preuve du manque de sérieux de certaines prestations de consulting ?







<img data-src=" />

A trouzmille euros la journée… <img data-src=" /> bravo !!



A+



Just1_ Abonné
Le 26/09/2017 à 12h 34

Bref les pirates avaient accès à tout surtout pendant un très long laps de temps.&nbsp;



<img data-src=" />



ça fait un peu tâche…


Le 26/09/2017 à 12h 45

“Lorsque vous êtes victime d’une&nbsp;cyberattaque, vous devez pouvoir&nbsp;réagir rapidement, mobiliser les bonnes&nbsp;personnes, isoler l’incident et réparer tout&nbsp;dommage avec le moins de perturbations&nbsp;possible”&nbsp;Mon dieu, quelle révélation. Sans eux, on y aurait pas pensé <img data-src=" />


Patch Abonné
Le 26/09/2017 à 12h 50







ndjpoye a écrit :



“Lorsque vous êtes victime d’une cyberattaque, vous devez pouvoir réagir rapidement, mobiliser les bonnes personnes, isoler l’incident et réparer tout dommage avec le moins de perturbations possible” Mon dieu, quelle révélation. Sans eux, on y aurait pas pensé <img data-src=" />



En même temps c’est le but d’une boîte d’audit et de conseil : t’apprendre ce que tu savais déjà <img data-src=" />



Le 26/09/2017 à 12h 54

Il dit qu’il voit pas le rapport.

Il n’est bien surprenant qu’une structure de ce style (dont le business model intègre une confidentialité de ses données client) essaie de temporiser la transparence, le temps de diagnostiquer l’étendue du (potentiel) désastre. Qu’il y ait eu un défaut de moyen au niveau de la fonction support DSI/SSI, ça a l’air bien parti pour être le cas. Aucun rapport avec la qualité du métier (l’activité d’audit / consulting) proprement dit.


Le 26/09/2017 à 12h 58



Big four



Quel rapport avec la poterie ?


Le 26/09/2017 à 13h 03

C’est pas faux.



Voir même apprendre de toi, tout en te facturant la prestation biensur <img data-src=" />


Le 26/09/2017 à 13h 05







sashimi a écrit :



Il dit qu’il voit pas le rapport.

Il n’est bien surprenant qu’une structure de ce style (dont le business model intègre une confidentialité de ses données client) essaie de temporiser la transparence, le temps de diagnostiquer l’étendue du (potentiel) désastre. Qu’il y ait eu un défaut de moyen au niveau de la fonction support DSI/SSI, ça a l’air bien parti pour être le cas. Aucun rapport avec la qualité du métier (l’activité d’audit / consulting) proprement dit.



Ce ne sont pourtant pas les conseils qu’ils prodiguent (on parle ici bien de la manière de communiquer, non de la manière de sécuriser son système informatique). Par ailleurs si le service mail d’une telle boîte est corrompu, il est urgent d’en informer les clients pour qu’ils sachent ce qui se ballade dans la nature et puissent à leur tour prendre les mesures nécessaires.



Le 26/09/2017 à 13h 07

C’est toujours le cordonnier le plus mal chaussé.



Vendre des conseils pour blinder son SI et ne pas être capable de sécuriser le sien, ça la fout mal quand même.


Le 26/09/2017 à 13h 07

C’est la faute à un consultant en stage chez eux <img data-src=" />


Le 26/09/2017 à 13h 08

5 millions de messages… C’est à la limite de l’inexploitable… Serait peut-être temps de faire le ménage non…



Après c’est pas choquant qu’une boite comme ça minimise les dégâts… Sont pas fous non plus. N’importe quelle boite en ferait autant.


Le 26/09/2017 à 13h 27



Une partie de ses activités concerne les cybermenaces. « Depuis quelques années, la question n’est plus de savoir si vous subirez des cyberattaques, mais plutôt quand elles se produiront et quelle sera leur ampleur » explique à juste titre la société sur son site. Et elle ne croyait certainement pas si bien dire.



En effet, nos confrères du Guardian révèlent qu’elle a été victime d’une cyberattaque « passée inaperçue depuis des mois », avec une fuite de données personnelles de certains de ses clients. La société confirme, mais ne communique que du bout des lèvres, principalement pour minimiser la portée de cet incident.



<img data-src=" />

Sortez un parapluie, je prédis un déluge de têtes


Le 26/09/2017 à 13h 28

[HS]

C’est un consultant en vadrouille à la campagne qui s’arrête à côté d’un berger.

“ Je vous propose quelque chose mon bon Monsieur : si je vous donne exactement la taille de votre pâture et le nombre de têtes dans votre troupeau, vous me donnez un de vos moutons.




  • Chiche, répond le berger

    Le consultant sort son pc portable, tapote un moment sort une carte GPS et pond un joli PowerPoint.

  • Vous avez 22 moutons et 30 brebis qui paissent sur une zone de 2 hectares.



    Sûr qu’il est de son fait, il embarque une des bestioles sous son bras.



  • Et si moi je devine votre métier, vous me rendez ma bête ?

  • Allez chiche ! répond le consultant.

  • Z’êtes un consultant, Monsieur

  • mais comment ? demande-t-il, abasourdi.

  • Vous vous pointez ici alors que personne ne vous a appelé pour me dire des trucs que je sais déjà, le tout en feignant être expert dans le domaine et en demandant un paiement pour le moins important.

    Maintenant vous me rendez mon chien !

    [/HS]

    Pour en revenir à l’actu, ils sont renommés pour la partie SI, Deloitte ? De mon temps, c’était surtout pour de l’audit ou du conseil financier qu’on les appelait.


fred42 Abonné
Le 26/09/2017 à 13h 32

Avec 244 000 employés dans le monde, ça ne fait que 20 mails par employé.



Comme il ne s’agit que des employé US, mon calcul est faux, mais même 5 à 6 fois plus de messages par employés, ça reste raisonnable.


PtiDidi Abonné
Le 26/09/2017 à 13h 40

Ben, cette boîte fait partie des Big Four c’est tout..

C’est comme si on précisait que Microsoft faisait partie des GAFAM..



C’est une information en plus


Le 26/09/2017 à 13h 44







PtiDidi a écrit :



Ben, cette boîte fait partie des Big Four c’est tout..





<img data-src=" /> Le Big Four, c’est Metallica, Megadeath, Slayer et Anthrax. Epicétout.<img data-src=" />



Le 26/09/2017 à 13h 45







WereWindle a écrit :



[HS]

C’est un consultant en vadrouille à la campagne qui s’arrête à côté d’un berger.

“ Je vous propose quelque chose mon bon Monsieur : si je vous donne exactement la taille de votre pâture et le nombre de têtes dans votre troupeau, vous me donnez un de vos moutons.




  • Chiche, répond le berger

    Le consultant sort son pc portable, tapote un moment sort une carte GPS et pond un joli PowerPoint.

  • Vous avez 22 moutons et 30 brebis qui paissent sur une zone de 2 hectares.



    Sûr qu’il est de son fait, il embarque une des bestioles sous son bras.



  • Et si moi je devine votre métier, vous me rendez ma bête ?

  • Allez chiche ! répond le consultant.

  • Z’êtes un consultant, Monsieur

  • mais comment ? demande-t-il, abasourdi.

  • Vous vous pointez ici alors que personne ne vous a appelé pour me dire des trucs que je sais déjà, le tout en feignant être expert dans le domaine et en demandant un paiement pour le moins important.

    Maintenant vous me rendez mon chien !

    [/HS]





    <img data-src=" /><img data-src=" /><img data-src=" />



Winderly Abonné
Le 26/09/2017 à 14h 07

On peut être parmi les plus grands et merder, c’est pas incompatible.


Le 26/09/2017 à 14h 08

Je sens qu’on va se “marrer” avec la RGPD en mai…








uzak a écrit :



Quel rapport avec la poterie ?







Le rapport c’est que ce sont ces boites qui viennent chez toi contrôler que tu est aux normes niveau sécu info. La du coups c’est comme un diététicien obèse.



swiper Abonné
Le 26/09/2017 à 14h 18

Le nombre de mails ziratés n’est pas important en soit, ce qui l’est plus c’est l’information qui est dedans.

<img data-src=" />

Il te suffit de choper l’email de l’admin qui envoie le mot de passe du Vcenter au nouveau pour que patatra… c’est la caca, la caca, la catastrophe !

Désolé je me suis refait les 3 frères il y a 3 jours…


Le 26/09/2017 à 14h 22







PtiDidi a écrit :



Ben, cette boîte fait partie des Big Four c’est tout..

C’est comme si on précisait que Microsoft faisait partie des GAFAM..



C’est une information en plus





Ouias, mais four à gaz ou four à bois ?









swiper a écrit :



Le nombre de mails ziratés n’est pas important en soit, ce qui l’est plus c’est l’information qui est dedans.

<img data-src=" />

Il te suffit de choper l’email de l’admin qui envoie le mot de passe du Vcenter au nouveau pour que patatra… c’est la caca, la caca, la catastrophe !

Désolé je me suis refait les 3 frères il y a 3 jours…







tu envoies les mots de passe admin par mail ? <img data-src=" />



Le 26/09/2017 à 14h 42



Et si les interlocuteurs de l’entreprise étaient plus sensibles à un message sincère, fiable et juste qu’à une abondance de signaux ? » Visiblement plus facile à dire qu’à faire…



ben pourtant ils suivent leurs recommandations là : pas d’abondance de signaux… en faisant le mort ils sont pile poil dans les clous <img data-src=" />

Ils restent sincère et fiable : ils ne savent encore rien, ils ne disent rien : CQFD.



<img data-src=" />



“Bonjour, je viens vous vendre du conseil en sécurité informatique, ça va vous coûter un bras mais vous pouvez avoir confiance en nous, nous sommes des pros….” <img data-src=" />


PtiDidi Abonné
Le 26/09/2017 à 14h 47

Ca serait les Big Fours



J’ai la flemme de chercher le lien lmgtfy donc voila :https://en.wikipedia.org/wiki/Big_Four_accounting_firms


Le 26/09/2017 à 14h 50

Il faut auditer le cabinet d’audit, puis auditer l’auditeur du cabinet d’audit, etc : monnaie infiniiiiiee <img data-src=" />


fred42 Abonné
Le 26/09/2017 à 15h 00

Pourquoi répondre cela à mon message qui avait un contexte que tu as manifestement ignoré ?


Le 26/09/2017 à 15h 01







WereWindle a écrit :



Maintenant vous me rendez mon chien !







<img data-src=" />



Le 26/09/2017 à 16h 34







PtiDidi a écrit :



Ca serait les Big Fours



J’ai la flemme de chercher le lien lmgtfy donc voila :https://en.wikipedia.org/wiki/Big_Four_accounting_firms





Il était dans la news ce lien, sous Big Four…

Mais bon, je vois que j’ai fait un four.. Je sortais de la news sur la francisation, ça me paraissait approprié <img data-src=" />



Le 26/09/2017 à 16h 37







kwak-kwak a écrit :



Ce ne sont pourtant pas les conseils qu’ils prodiguent (on parle ici bien de la manière de communiquer, non de la manière de sécuriser son système informatique). Par ailleurs si le service mail d’une telle boîte est corrompu, il est urgent d’en informer les clients pour qu’ils sachent ce qui se ballade dans la nature et puissent à leur tour prendre les mesures nécessaires.





Encore faut-il que les clients puisse payer cette information



Dj Abonné
Le 26/09/2017 à 17h 34







razibuzouzou a écrit :



5 millions de messages… C’est à la limite de l’inexploitable… Serait peut-être temps de faire le ménage non…





Tu tape une recherche après “fusion-acquisition” ,&nbsp; tu sais rapidement ce qui se trame, t’achète des parts dans les entreprises concernées, et t’attends tranquille quelques mois



Patch Abonné
Le 26/09/2017 à 18h 21







ndjpoye a écrit :



C’est pas faux.



Voir même apprendre de toi, tout en te facturant la prestation biensur <img data-src=" />



Oui ca arrive aussi <img data-src=" />







WereWindle a écrit :



[HS]

C’est un consultant en vadrouille à la campagne qui s’arrête à côté d’un berger.

“ Je vous propose quelque chose mon bon Monsieur : si je vous donne exactement la taille de votre pâture et le nombre de têtes dans votre troupeau, vous me donnez un de vos moutons.




  • Chiche, répond le berger

    Le consultant sort son pc portable, tapote un moment sort une carte GPS et pond un joli PowerPoint.

  • Vous avez 22 moutons et 30 brebis qui paissent sur une zone de 2 hectares.



    Sûr qu’il est de son fait, il embarque une des bestioles sous son bras.



  • Et si moi je devine votre métier, vous me rendez ma bête ?

  • Allez chiche ! répond le consultant.

  • Z’êtes un consultant, Monsieur

  • mais comment ? demande-t-il, abasourdi.

  • Vous vous pointez ici alors que personne ne vous a appelé pour me dire des trucs que je sais déjà, le tout en feignant être expert dans le domaine et en demandant un paiement pour le moins important.

    Maintenant vous me rendez mon chien !

    [/HS]



    C’est exactement ca <img data-src=" />









    Ricard a écrit :



    <img data-src=" /> Le Big Four, c’est Metallica, Megadeath, Slayer et Anthrax. Epicétout.<img data-src=" />



    Le Big Four, c’était plutôt à l’époque des Nazi <img data-src=" />



swiper Abonné
Le 27/09/2017 à 08h 50

Je parlais de l’admin !! Pas moi, petit gredin. D’ailleurs il y a même les conversations skype sur outlook maintenant alors à part le téléphone…. et encore…


Le 27/09/2017 à 09h 46

Et ils ont réussi à faire 38 milliards de chiffre d’affaire… A ouais… ça fait cher la consultation….


Le 27/09/2017 à 09h 58

<img data-src=" />



Et c’est drôle parce que, les trois quarts du temps, c’est vrai.


Le 27/09/2017 à 10h 42







graphseb a écrit :



<img data-src=" />



Et c’est drôle parce que, les trois quarts du temps, c’est vrai.





bah c’est de la source sûre : je l’ai apprise directement d’un consultant Ernst & Young <img data-src=" />



Le 28/09/2017 à 03h 26

Je pense que quand tu n’as pas travaillé en société de service, c’est difficile de s’imaginer le fossé entre l’image de l’entreprise chez les clients et ce qu’il se passe en interne.



J’en ai connu qui installaient des infras hors de prix et dans lesquelles on luttait pour monter un pc avec des pièces reconditionnées, d’autres qui vendent de la sécu +++ avec des gens qui avaient super rapidement accès aux données des clients, d’autres qui vendaient de l’ITIL et compagnie et qui n’avaient eux-mêmes pas d’outil de suivi des tickets…. Mais bon c’est pas ton entreprise que tu factures donc l’infra interne, tant que ça tourne personne ne met les mains dedans.


Le 29/09/2017 à 09h 13

Ouais, ou les médecins qui fument…


Le 29/09/2017 à 09h 14

De toute façon, ce genre de boîtes c’est 100% de l’esbrouffe, et y’a qu’à voir le résultat…


Le 29/09/2017 à 14h 46







WereWindle a écrit :



[HS]

C’est un consultant en vadrouille à la campagne qui s’arrête à côté d’un berger.

[…]

Maintenant vous me rendez mon chien !

[/HS]





Je la connaissait sous une forme différente où on ne savait que le type est consultant que tout à la fin, je la trouvais encore meilleure. Dans la mienne, le type était aussi polytechnicien, histoire de cumuler un peu.



Le 02/10/2017 à 06h 37







Zerdligham a écrit :



Je la connaissait sous une forme différente où on ne savait que le type est consultant que tout à la fin, je la trouvais encore meilleure. Dans la mienne, le type était aussi polytechnicien, histoire de cumuler un peu.





c’était très probablement le cas de la mienne aussi et je l’aurais modifiée sans le vouloir, perdant effectivement un bout de l’effet comique <img data-src=" />