Deloitte confirme avoir été piratée, mais manque de transparence

Comment réagir face à une cyberattaque ? C'est une des réponses que la société Deloitte se propose d'apporter aux entreprises. Elle a désormais l'occasion d'appliquer ses recommandations à elle-même... Une chose est sûre, elle ne fait pas preuve de la plus grande transparence.

Avec un chiffre d'affaires consolidé de 38,8 milliards de dollars sur son année fiscale 2017 (clôturée le 31 mai, en hausse de 2 milliards d'euros sur un an), Deloitte est l'un des plus gros cabinets d'audit et de conseil au monde. Il fait partie des « Big four » aux côtés d'Ernst & Young, KPMG et PricewaterhouseCoopers. La société propose son savoir-faire à de grands groupes et institutions.

Une partie de ses activités concerne les cybermenaces. « Depuis quelques années, la question n’est plus de savoir si vous subirez des cyberattaques, mais plutôt quand elles se produiront et quelle sera leur ampleur » explique à juste titre la société sur son site. Et elle ne croyait certainement pas si bien dire. 

En effet, nos confrères du Guardian révèlent qu'elle a été victime d'une cyberattaque « passée inaperçue depuis des mois », avec une fuite de données personnelles de certains de ses clients. La société confirme, mais ne communique que du bout des lèvres, principalement pour minimiser la portée de cet incident.

Un accès administrateur au serveur email... entre autres

Selon nos confrères, le ou les pirates ont eu accès au serveur email de la société (hébergé sur Azure Cloud Service de Microsoft) avec un compte administrateur, leur permettant potentiellement de récupérer cinq millions de messages qui y seraient stockés. Puisque la société propose des conseils dans de nombreux domaines (cybersécurité, acquisition, fiscalité, stratégie, etc.) on peut facilement imaginer les données extrêmement sensibles pouvant s'y trouver.

Le Guardian ajoute que l'accès au compte administrateur n'était protégé que par un mot de passe, sans une seconde étape d'identification, alors que c'est désormais considéré comme une protection de base, surtout pour des données aussi sensibles. Ce n'est pas tout, nos confrères en rajoutent encore une couche : les pirates auraient également pu accéder à des noms d'utilisateurs, mot de passe, adresse IP et architecture réseau de chez Deloitte. Seule bonne nouvelle dans ce déluge : les fuites de données ne concerneraient que les États-Unis.

La faille aurait été découverte en mars de cette année, mais les pirates auraient eu accès aux données depuis octobre ou novembre de l'année dernière, toujours selon les informations du Guardian. Hasard ou non du calendrier, Deloitte aurait demandé à ses employés américains de réinitialiser leur mot de passe en octobre 2016, comme le rapporte Brian Krebs sur son blog.

« Très peu de clients » concernés selon Deloitte

Deloitte n'a pour le moment fait aucune annonce officielle sur son site (ni sur les réseaux sociaux), mais a tout de même apporté des éléments de réponse à plusieurs de nos confrères, dont The Guardian et Reuters.

Dans les deux cas, elle confirme avoir été victime d'une cyberattaque, mais précise que « très peu de clients » sont concernés, sans détails supplémentaires. Tout juste savons-nous qu'ils ont été contactés. Le mutisme du cabinet ne s'arrête pas là : si des autorités compétentes ont évidemment été contactées après cette découverte, nous ne saurons pas lesquelles. 

Deloitte a évidemment procédé à un examen des traces laissées par le ou les pirates et affirme que les données exposées ne représenteraient qu'une « très petite partie » de ce qui a été annoncé... là encore sans donner aucun détail supplémentaire sur leur nombre. Les auteurs de cette cyberattaque ne sont pas encore connus.

De son côté, le Guardian indique qu'au moins six clients Deloitte auraient été informés par le cabinet d'un risque de fuite. La société ajoute par contre qu'il n'y a eu aucune interruption de service. De plus, suite à cette découverte, un « protocole de sécurité complet » a été mis en place avec l'aide d'experts internes et externes. 

A-t-elle mis près de six mois à mettre en lumière ce piratage, comme le rapporte The Guardian ? Deloitte n'apporte aucune réponse sur ce point. Selon Brian Krebs (citant une source proche du dossier), le cabinet ne saurait pas encore avec exactitude comment et quand se sont déroulés les faits. Pire, « les enquêteurs ne sont pas certains d'avoir expulsé les intrus du réseau », deux éléments à confirmer bien évidemment. Le problème étant que Deloitte ne donne pas d'information précise sur ces points. 

Une cyberattaque ? Quelle cyberattaque ?

Cette cyberattaque permet de voir en pratique comment Deloitte applique ses propres conseils. Sur son site, elle explique les grandes pistes : « Lorsque vous êtes victime d’une cyberattaque, vous devez pouvoir réagir rapidement, mobiliser les bonnes personnes, isoler l’incident et réparer tout dommage avec le moins de perturbations possible ».

À y regarder de plus près, on se rend compte que la transparence n'est pas vraiment une priorité dans le cas présent. Si Deloitte a donné des précisions à plusieurs de nos confrères, il s'agissait surtout pour l'entreprise de jouer les pompiers en affirmant que la portée est bien moins importante que ce que laisse entendre The Guardian. Par contre, aucune trace de cette missive sur les réseaux sociaux ou dans les communiqués de presse.

La transparence est pourtant un élément important menant à la confiance, comme l'explique elle-même la société sur son site Equation de la confiance : « Il devient nécessaire pour les organisations de répondre aux attentes de leurs parties prenantes en matière de transparence tout en préservant leurs orientations stratégiques ou leurs informations confidentielles. Cette tendance rend impérative la maîtrise des nouveaux canaux. Et si les interlocuteurs de l’entreprise étaient plus sensibles à un message sincère, fiable et juste qu’à une abondance de signaux ? » Visiblement plus facile à dire qu'à faire...