Accueil
Cyberécurité
Deloitte Toronto

Deloitte : le consultant en cybersécurité de l’année est un pot-pourri de pratiques à risque

Cédric Mialaret
Cyberécurité

Deloitte victime de cyberattaques

Deloitte, le spécialiste des services professionnels dans les domaines de l’audit, de la fiscalité, du consulting et du financial advisory, a été élu par Gartner consultant en cybersécurité de l’année, pour la cinquième année consécutive, en juin 2017.

Il semblerait toutefois que le consultant ne pratique pas ce qu’il prêche.

Lundi, le quotidien britannique The Guardian révélait que Deloitte a été la victime de cyberattaques qui n’ont pas été détectées pendant des mois, entre octobre 2016 et mars 2017.

Le système de messagerie aurait été compromis, et cinq millions de courriels entre les 244 000 employés de Deloitte et ses clients ont été piratés.

Les hackers auraient piraté des comptes administrateurs pour lesquels la vérification à double facteur multiple n’aurait pas été activée, ce qui est honteux.

Certains courriels incluaient des pièces jointes avec des informations sensibles de sécurité et de conceptions.

Ils auraient également eu accès à des noms, des mots de passe, des adresses IP, des diagrammes architecturaux d’affaires et d’informations de santé.

Deloitte a reconnu avoir été piraté, mais minimise l’incident, affirmant que quelques clients seulement sont touchés, et qu’une toute petite partie des cinq millions de courriels a été en danger.

Un audit interne aurait été complété, permettant à Deloitte de comprendre ce que les pirates ont fait et les informations à risque.

Une affirmation mise en doute par le spécialiste de la sécurité Brian Krebs. D’après une de ses sources, Deloitte ne saurait toujours pas exactement comment l’intrusion a eu lieu, ni pendant combien de temps les pirates étaient dans le système.

 

Des pratiques de sécurité suicidaires

Depuis, des pratiques de sécurité lamentables et suicidaires font surface.  Elles pourraient effrayer des clients potentiels, malgré un ‘Centre de cyberintelligence’ qui fournit à la demande une sécurité opérationnelle 24 heures sur 24, surveillant et évaluant les menaces envers les clients.

Mardi, des informations de connexion pour se connecter au réseau virtuel privé de Deloitte, auraient été découvertes dans un dépôt public sur GitHub : noms, mots de passe et détails opérationnels, affirme The Register :

Ce qui ressemble à des informations de connexion au VPN de Deloitte
Ce qui ressemble à des informations de connexion au VPN de Deloitte. Source : The Register

Des informations de connexion à un serveur proxy auraient traîné sur la page publique Google + d’un employé pendant plus de six mois.

D’après Dan Tentler du Phobos Group, 7 000 à 12 000 appareils, y compris des serveurs, font directement face à Internet avec accès au bureau à distance autorisé. Pourtant, une des meilleures pratiques de base de la cybersécurité est de protéger ces appareils derrière un pare-feu et avec une authentification à facteurs multiples.

Pire encore, le port Netbios de certains appareils serait ouvert : https://www.shodan.io/host/199.38.216.243.

Un serveur de Deloitte dont le port Netbios serait ouvert
Un serveur de Deloitte dont le port Netbios serait ouvert