L’autorité anglaise de protection des données (ICO[1]) a sanctionné la compagnie aérienne BRITISH AIRWAYS pour n’avoir pris des mesures adaptées pour sécuriser les données à caractère personnel de ses clients, conformément aux exigences du RGPD[2].

Un attaquant a réussi à accéder aux systèmes informatiques de la compagnie en utilisant les identifiants de connexion d’une personne travaillant pour British Airways. Même si cet accès permettait d’accéder théoriquement uniquement à certaines applications, l’attaquant a réussi à s’extraire de ces limitations et à accéder à un fichier qui contenait, en clair, le nom d’utilisateur et le mot de passe d’un compte Administrateur.

Ce compte Administrateur a permis à l’attaquant de trouver un fichier contenant les numéros de cartes bancaire des transactions effectuées par les clients, que British Airways enregistrait par erreur, même si seules les transactions des 95 derniers jours étaient conservées.

Ce compte a aussi permis à l’attaquant de modifier le code du site Internet de la compagnie et d’y insérer un programme permettant de copier discrètement les coordonnées bancaires des clients lorsque ces derniers procedaient à un paiement. Ce programme est resté en ligne sur le site de British Airways pendant 15 jours.

Au total, les données personnelles, dont les numéros de cartes bancaires, de 429 612 clients ont été subtilisées.

Suite à cet incident, la Commission anglaise a estimé que British Airways n’avait pas avoir pris des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté[3] ». La Commission reproche notamment à la compagnie aérienne :

  • les faiblesses de l’authentification des comptes des personnes travaillant pour la compagnie, basée uniquement sur la connaissance d’un mot de passe[4] ;
  • l’absence de mesures permettant de limiter les autorisations des comptes[5] ;
  • la conservation des identifiants de connexion, notamment des comptes administrateurs, dans un fichier non chiffré, notamment des fichiers de configuration ;
  • l’absence de suppression des fonctions de débogage lors de la mise en production du site Internet[6] ;
  • l’absence de mesures permettant de détecter la modification non autorisée de son site Internet[7].

Une sanction de £20 millions a été prononcée à l’encontre de la société British Airways, soit 0,16 % de son chiffre d’affaires[8].

Lire :

Notes et références

  1. ICO : Information Commissioner’s Office (ico.org.uk).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Le RGPD demande aux entreprises qui traitent des données à caractère personnel de prendre des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-1).
  4. Pour ne pas faire reposer la sécurité de l’authentification uniquement sur la connaissance d’un mot de passe, un deuxième facteur d’authentification peut être ajouté en utilisant une application d’authentification ou une clé d’authentification par exemple. Voir « Comment améliorer la sécurité de l’authentification de ses utilisateurs ? ».
  5. Pour améliorer la sécurité, il est recommandé de donner le moins possible d’autorisations aux comptes des utilisateurs. Cela permet notamment de limiter les conséquences lorsque le compte est compromis. « Quels sont les risques à ne pas restreindre les droits d’accès d’un compte ? »
  6. Lors du développement d’un site Internet ou d’une application, les développeurs utilisent régulièrement des mécanismes pour détailler le déroulement de leurs programmes et leur permettre de détecter d’éventuelles erreurs. Ces mécanismes sont normalement retirés lorsque le site Internet ou l’application sont mis en ligne.
  7. Pour améliorer la sécurité des sites ou applicables Web, il est, par exemple, possible d’exiger la validation d’une ou plusieurs personnes (responsables) avant qu’une modification soit publiée.
  8. La société British Airways a déclaré un chiffre d’affaires de £12,2 milliards en 2017.