Fuite de données: Deloitte, Forrester… et maintenant Accenture
Après Deloitte et Forrester, Accenture est aussi l’objet de révélations concernant des données sensibles compromises.
La série noire continue pour les cabinets de consulting. Après la divulgation de cyberattaques ciblant Deloitte puis Forrester, c’est au tour d’Accenture de se trouver au cœur d’une affaire de fuite de données. Des hackers malveillants ne sont cette fois pas directement mis en cause. Les données en question ayant été compromises par une erreur de configuration de «buckets» (compartiments) sur le service de stockage S3 d’Amazon Web Services.
L’exposition non désirée des données d’Accenture a été détectée par les chercheurs en cybersécurité de la firme UpGuard. Laquelle explique sur son blog qu’au moins quatre serveurs de stockage dans le cloud d’AWS n’étaient par sécurisés et donc accessibles publiquement. Le contenu des serveurs serait lié au logiciel de l'offre cloud pour entreprise de la société, Accenture Cloud Platform. Parmi les données ainsi compromises, UpGuard mentionne notamment des identifiants, des clés de chiffrement et des informations de clients. Les utilisateurs d’Accenture Cloud Platform incluent 94 des sociétés du Fortune Global 100.
L’exposition de ces données aurait pu être évitée grâce à un simple mot de passe ajouté à chaque compartiment S3, précise la firme de cybersécurité. Et de prévenir: «Il est possible qu'un acteur malveillant ait pu utiliser les clés exposées pour se faire passer pour Accenture, demeurant silencieusement dans l'environnement informatique de l'entreprise pour collecter plus d'informations.» Réagissant sur le média The Register, un porte-parole d’Accenture se veut rassurant, expliquant qu’aucune information sensible de clients n’a pu fuiter, le cabinet ayant mis en place plusieurs couches de sécurité: «Les données en question n'auraient pas permis à quiconque qui les aurait trouvées de pénétrer l'une de ces couches.»
A noter qu’Accenture n’est pas la première firme d’envergure à subir ce type d’incidents. D’autres sociétés, dont Verizon et Viacom, ont aussi par inadvertance laissé publiquement accès à des données sensibles à cause de compartiments AWS S3 mal configurés.
