L’autorité anglaise de protection des données (ICO[1]) a sanctionné la compagnie aérienne BRITISH AIRWAYS pour n’avoir pris des mesures adaptées pour sécuriser les données à caractère personnel de ses clients, comme le demande le RGPD[2].

L’absence de ces mesures de sécurité a été mis en lumière suite à l’attaque informatique dont a été victime British Airways entre le 22 juin et le 5 septembre 2018.

Un attaquant a, en effet, réussi à accéder aux systèmes informatiques de la compagnie en utilisant les identifiants de connexion d’une personne travaillant pour British Airways. Même si cet accès permettait théoriquement d’accéder uniquement à certaines applications, l’attaquant a réussi à s’extraire de ces limitations et à accéder à un fichier qui contenait, en clair, le nom d’utilisateur et le mot de passe d’un compte Administrateur.

Ce compte Administrateur a permis à l’attaquant de trouver un fichier contenant les numéros de cartes bancaire des transactions effectuées par les clients, que British Airways enregistrait par erreur depuis 2015, même si seules les transactions des 95 derniers jours étaient conservées.

Ce compte a aussi permis à l’attaquant de modifier le code du site Internet de la compagnie et d’y insérer un programme permettant de copier discrètement les coordonnées bancaires des clients lorsque ces derniers procèdaient à un paiement.

Ce programme est resté en ligne sur le site de British Airways du 21 août au 5 septembre 2018, soit une période de 15 jours.

Au total, les données personnelles, dont les numéros de cartes bancaires, de 429 612 clients ont été subtilisées.

Suite à cet incident, la Commission anglaise reproche à la compagnie aérienne :

  • les faiblesses de l’authentification des comptes des personnes travaillant pour la compagnie, basée uniquement sur la connaissance d’un mot de passe[3] ;
  • l’absence de mesures permettant de limiter les autorisations des comptes[4] ;
  • la conservation des identifiants de connexion, notamment des comptes administrateurs, dans un fichier non chiffré, notamment des fichiers de configuration ;
  • l’absence de suppression des fonctions de débogage lors de la mise en production du site Internet[5] ;
  • l’absence de mesures permettant de détecter la modification non autorisée de son site Internet[6].

La Commission anglaise estime que British Airways n’a pas respecté le RGPD, qui demande de prendre les « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque[7] ».

Une sanction de £20 millions a été prononcée à l’encontre de la société British Airways, soit 0,16 % de son chiffre d’affaires[8].

Cette sanction prend en compte le fait que British Airways ait pris des mesures pour diminuer l’impact de cet incident, notamment en corrigeant rapidement son site Internet et en proposant de rembourser les clients suite au vol de leur carte bancaire et le fait que la compagnie aérienne a connu une période compliquée avec la crise sanitaire.

Lire :

Notes et références

  1. ICO : Information Commissioner’s Office (ico.org.uk).
  2. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  3. Des mesures de sécurité peuvent être mises en place pour améliorer la sécurité de l’authentification. Voir « Comment améliorer la sécurité de l’authentification de ses utilisateurs ? ».
  4. Pour améliorer la sécurité, il est recommandé de donner le moins possible d’autorisations aux comptes des utilisateurs. Cela permet de limiter les conséquences lorsque le compte est compromis. « Quels sont les risques à ne pas restreindre les droits d’accès d’un compte ? »
  5. Lors du développement d’un site Internet ou d’une application, les développeurs utilisent régulièrement des mécanismes pour détailler le déroulement de leurs programmes et leur permettre de détecter d’éventuelles erreurs. Ces mécanismes sont normalement retirés lorsque le site Internet ou l’application sont mis en ligne.
  6. Il est, par exemple, possible d’exiger la validation de certaines personnes, responsables, avant qu’une modification du site Internet soit mise en ligne.
  7. L’article 32-1 du RGPD indique que les entreprises traitant des données à caractère personnelles doivent prendre des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque ».
  8. La société British Airways a déclaré un chiffre d’affaires de £12,2 milliards en 2017.