Deloitte : Pendant plusieurs mois, le cabinet a caché un piratage informatique à ses clients
Les hackers auraient pu tranquillement fouiller les mails du cabinet pendant plusieurs semaines.
Le cabinet d’audit et de conseil Deloitte est l’un des leaders de son secteur. Autant dire que l’entreprise gère donc des clients dont les données peuvent être particulièrement sensibles, notamment en cas de piratage informatique.
C’est sans doute pour celà que la firme n’a pas souhaité communiquer plus en détail sur l’attaque dont elle a été la cible et qu’elle aurait mis plusieurs mois à détecter.
Un serveur mail mal sécurisé
Ce sont nos confrères britanniques du Guardian qui rapportent l’information. L’attaque aurait débuté en octobre ou novembre dernier et n’aurait été détectée qu’en mars 2017 par les équipes informatiques de Deloitte. Il aura également fallu attendre l’annonce du Guardian pour que Deloitte confirme officiellement le piratage.
Les hackers se sont introduits dans un serveur mail de l’entreprise qui était sécurisé par un simple mot de passe alors que l’usage veut que ce type d’infrastructures soit protégé par des mesures bien plus complexes, comme une authentification à double facteur. Grâce à un compte administrateur, les pirates avaient accès à quasiment toutes les données contenues sur ce serveur, et notamment aux mails de 244.000 employés du cabinet.
Des données sensibles compromises
Dans boîtes mails, les hackers ont notamment pu consulter des informations sur les clients de Deloitte, leurs perspectives financières, leurs adresses IP et autres données concernant leurs systèmes informatiques. Selon le cabinet, 6 clients de Deloitte auraient d’ores et déjà été prévenus du risque pour leurs données sensibles, mais l’enquête interne serait encore en cours. Cette dernière devra notamment déterminer la provenance des hackers, ce qui devrait permettre de juger du risque encouru.
Reste que l’affaire risque de porter un sérieux coup à l’image de Deloitte qui, outre son expertise dans le conseil financier, se targue d’offrir une confidentialité et une sécurisation à toute épreuve des données de ses clients.