Le journal anglais The Guardian vient de révéler que le cabinet d’audit en sécurité Deloitte a été touché par une cyberattaque il y a un an. Cette dernière, découverte par le cabinet en mars, a dérobé plusieurs courriels confidentiels de clients.
Voila une situation autant ironique que dangereuse pour un cabinet qui conseille notamment sur les risques de piratage et la protection des données ! D’après The Guardian, la célèbre cabinet Deloitte, largement réputé dans le milieu de l’audit et du conseil en sécurité informatique, a été victime d’une cyberattaque pendant six mois (entre fin octobre 2016 et mars 2017), ce qui pourrait coûter très cher à ce dernier… L’information a été confirmée officiellement depuis.
“A la suite d’un incident de cybersécurité, le cabinet a mis en place son protocole de sécurité et a lancé un examen exhaustif en mobilisant une équipe de spécialistes internes et externes à Deloitte. Dans le cadre de cet examen, Deloitte s’est rapproché des rares clients touchés et a averti les régulateurs et les autorités gouvernementales“, a expliqué le cabinet.
Au total, ce sont pas moins de cinq millions de messages qui seraient potentiellement compromis, la plupart échangés en interne mais aussi avec les clients. La problème majeur de cette intrusion reste la confiance entre le cabinet et les clients pour l’avenir !
L’attaque a touché le serveur hébergeant le service d’emails de Deloitte dont l’accès, via un compte administrateur, n’était protégé que par un unique mot de passe. Ces emails étaient ensuite stockés sur le Cloud public de Microsoft : Azure. Les données confidentielles auxquelles les pirates ont pu accéder étaient stockées sur le cloud Azure de Microsoft. Pour y pénétrer, les cybercriminels ont réussi à accéder au compte administrateur via un identifiant et un mot de passe valide. Cela a suffit pour avoir un accès illimité à tous les dossiers stockés (ce qui peut paraître étrange, il faut en convenir car on aurait pu croire que d’autres protections plus avancées auraient été déployées).
Thomas Fischer, Global Security Advocate chez Digital Guardian, spécialiste de la sécurité des données, explique comment éviter ce type de faille :
« Cette nouvelle faille met encore une fois en avant l’importance d’archiver et de communiquer les données clients d’une façon sécurisée. Dans cette situation particulière, un bon cryptage aurait permis d’éviter la lecture des emails confidentiels. Mais cela met également en avant les challenges fondamentaux allant de paire avec le cryptage, notamment en ce qui concerne les emails : il est simple pour les utilisateurs d’oublier d’activer cette technologie. Les outils peuvent cependant aider l’utilisateur : certains peuvent par exemple automatiquement mettre en place le cryptage lorsque certains mots clés sont détectés. En conclusion, si les données d’une entreprise sont conservées et communiquées de manière sécurisée, ce type d’attaque aurait beaucoup moins d’impact. »
Cédric Gestes, co-fondateur et CTO de Tanker – solution de sécurisation des données hébergées sur le Cloud via le chiffrement de bout en bout – s’interroge sur les dispositifs de sécurité employés par Deloitte :
« Comment un cabinet de cette envergure, mondialement reconnu, peut-il se contenter d’un si faible niveau de sécurité ? Une entreprise traitant des données sensibles à forte valeur ajoutée se doit de mettre en place une sécurité optimale. Si Deloitte utilisait le chiffrement de bout en bout, ces données compromis auraient été chiffrés en permanence et uniquement accessibles depuis les périphériques des utilisateurs disposant des clés de chiffrement. Ces clés, non partageables, ne quittent pas le périphérique de l’utilisateur et sont elles-mêmes chiffrées quand elles ne sont pas utilisées. De plus, aucun administrateur dans le système n’aurait disposé d’un accès privilégié aux fichiers des utilisateurs et un piratage de ce type n’aurait pas été possible. » explique-t-il.
Cette affaire est révélée deux semaines seulement après l’annonce d’un piratage géant ayant touché Equifax, entreprise américaine de notation de crédits. De quoi prouver une fois encore la nécessité de faire du chiffrement de bout en bout by design un standard de sécurité pour les éditeurs SaaS.