Attaque de ransomware : Accenture ajuste son message

Le 20 août dernier, les cybermalfaiteurs aux commandes du ransomware LockBit 2.0 revendiquaient une attaque réussie contre Ethiopian Airlines, et menaçaient de divulguer les données dérobées au passage. Quelques jours plus tard, ils ajoutaient à la liste de leurs victimes une autre compagnie aérienne, Bangkok Airways.

Avant cela, les opérateurs du rançongiciel LockBit 2.0 avaient revendiqué, début août, une cyberattaque contre Accenture et menacé de divulguer des données dérobées au passage. Les quelques échantillons présentés alors par les cybertruands ne s’étaient pas montré de grande valeur.

Mais dans un échange avec nos confrères de Bleeping Computer, les attaquants avaient affirmé que « la brèche d’Accenture leur [avait] donné accès à des identifiants leur permettant de se tourner vers des clients de l’entreprise ». Et d’assurer au passage avoir compromis également un aéroport client de l’entreprise de services numériques.

Accenture a bien confirmé l’intrusion, mais assuré que les assaillants n’avaient pas été en mesure d’exfiltrer de données sensibles. À nos collègues de SearchSecurity (groupe TechTarget), un porte-parole de l’ESN avait alors expliqué que « grâce à nos contrôles et protocoles de sécurité, nous avons identifié une activité anormale sur l’un de nos environnements. […] Nous avons immédiatement contenu le problème et isolé les serveurs affectés. Nous avons pleinement restauré les systèmes affectés à partir de sauvegardes. Il n’y a pas eu d’impact sur l’activité d’Accenture ni sur les systèmes de nos clients ».

Dans une déclaration adressée à la rédaction le 1^er septembre, Accenture assurait avoir « finalisé l’examen post-mortem des documents liés à [ses] systèmes ». Selon l’ESN, les allégations relayées par Bleeping Computer étaient tout simplement « fausses ». Et, « comme nous l’avons dit, il n’y a pas eu d’impact [de l’attaque, N.D.L.R.] sur les activités d’Accenture ou sur les systèmes de nos clients. Dès que la présence d’un acteur malveillant a été détectée, nous avons isolé les serveurs concernés ».

Dans une déclaration au gendarme des marchés boursiers américains, la SEC, Accenture adopte désormais un langage moins tranché, concédant que l’attaque survenue durant l’été a eu un impact sur ses activités et celles de clients, mais rien de « significatif » : « nos clients ont subi, et pourraient subir à l’avenir, des violations de systèmes et de services cloud intégrés ou produits par nous. À ce jour, ces incidents n’ont pas eu d’impact significatif sur nos activités ou celles de nos clients ; cependant, rien ne garantit que de tels impacts ne seront pas significatifs à l’avenir, et ces incidents ont eu dans le passé et peuvent avoir à l’avenir les impacts discutés ci-dessous ».