La compagnie aérienne British Airways vient d’annoncer dans un communiqué qu’elle a été victime d’une fuite de données majeure concernant 380 000 cartes bancaires clients.
https://twitter.com/British_Airways/status/1037755174700417025
Le communiqué officiel précise en outre que les réservations faites sur le site Internet et sur l’application de la compagnie aérienne entre le 21 août et le 5 septembre ont pu être compromises :
« Entre 22h58 le 21 août 2018 et 21h54 le 5 septembre, les données personnelles et financières des clients faisant des réservations sur notre site internet et notre application mobile ont été compromises. Nous conseillons à nos clients qui pensent avoir été affectés par l’incident de contacter leur banque ou l’émetteur de leur carte et de suivre leurs recommandations. Nous sommes profondément désolés pour cette perturbation provoquée par une activité criminelle. »
Le directeur général de la compagnie aérienne a confirmé que la faille dans les systèmes informatiques ayant permis la fuite de données personnelles a été identifiée et corrigée en interne. L’ensemble des clients concernés par le piratage de données bancaires vont être contactés.
Les données relatives aux passeports des voyageurs n’ont, elles, pas été compromises. British Airways a précisé que le fonctionnement de son site internet et de son application était « revenu à la normale », et que les clients devant prendre un avion pouvaient s’enregistrer normalement en ligne.
Si vous avez un doute, n’hésitez pas à vous adresser à votre banque.
Commentaire de James Lyne, Head of Research and Development chez Sans Institute, premier institut de formation au monde aux métiers de la sécurité informatique :
“Premièrement, l’étendue exacte des données perdues n’est pas claire. La déclaration sur le site web de British Airways indique que “les données personnelles et financières des clients effectuant ou modifiant des réservations sur notre site web et notre application ont été compromises”. La déclaration recommande aux clients concernés de faire opposition sur leur carte de crédit. Sans préciser quelles données “personnelles” ont été perdues ce qui, dans certains cas, peut amplifier la portée de la fraude. British Airways devrait donc apporter des éclaircissements à ce sujet dès que possible. Il est intéressant de noter que British Airways offre de payer à ses clients touchés un service de vérification de comptes.
British Airways laisse entendre qu’elle a été victime d’une attaque sophistiquée, comme le font de nombreuses entreprises dans une situation de vol de données. Et ce n’est que lorsque d’autres détails sont dévoilés que le piratage est qualifié de cyberattaque criminelle. Souvent, les détails d’un piratage de données ne sont pas connus au moment de la communication initiale. En effet, la rapidité avec laquelle les entreprises sont tenues d’aviser les clients d’un vol de données, en vertu de la RGPD, est une chose positive mais pourrait aggraver la situation. Les clients doivent donc surveiller les mises à jour au cas où d’autres informations les concernant seraient mises à leur disposition au fur et à mesure que l’enquête se poursuit.
British Airways déclare que ses données étaient cryptées. Le chiffrement peut et doit être appliqué à plusieurs niveaux au sein d’une entreprise, entre l’ordinateur du client et les serveurs British Airways. Un schéma de cryptage standard qui est déployé pour tout, des banques aux réservations de vols en passant par la connexion aux médias sociaux. Derrière ce processus sur les serveurs, les données doivent également être cryptées là où elles sont stockées. Une étape souvent négligée ou mal appliquée par les entreprises.
On pourrait supposer qu’une entreprise de la taille de British Airways et avec ses exigences en matière de traitement des données aurait appliqué le cryptage à ce niveau. Cependant, il arrive souvent que le logiciel qui gère les données soit piraté ou que les clés de cryptage soient perdues. Si c’est le cas, les données peuvent tout aussi bien ne pas être cryptées. Comme nous l’avons vu dans d’autres attaques, les clés de la base de données cryptée sont parfois stockées juste à côté, ce qui permet à un cybercriminel d’y accéder.
Il est à espérer que d’autres détails seront bientôt fournis sur la façon dont le piratage s’est produit, par exemple si seul le site Web ou l’application ont été touché ou les deux à la fois, et si une tierce partie a été impliquée. D’ici là, les clients concernés devraient accepter l’offre de British Airways de payer pour un service de vérification de compte, suivre leurs conseils pour contacter leur banque et suivre la situation pour obtenir des informations supplémentaires. “