Une cyberattaque contre la compagnie aérienne britannique EasyJet a permis aux criminels d’accéder aux e-mails et aux informations de voyage d’environ 9 millions de clients. Les cybercriminels ont également piraté les informations de carte de crédit de plus de 2 000 d’entre eux.
Les informations des clients semblent ne pas avoir été utilisées à mauvais escient
La compagnie aérienne britannique EasyJet a officiellement annoncé qu’elle a subi une cyberattaque de la part d’une source « hautement sophistiquée ». L’attaque s’est produite au mois de janvier, mais l’entreprise a annoncé qu’elle a désormais bloqué les accès non autorisés à sa base de données. Quant au fait que le problème n’ait été annoncé que près de cinq mois après les faits, les responsables d’EasyJet ont déclaré à la BBC : « Nous n’avons pu informer les gens qu’une fois l’enquête suffisamment avancée pour que nous puissions identifier si des individus ont été affectés, puis qui ont été touchés et quelles informations ont été consultées. »
La société a affirmé avoir engagé des experts légaux de premier plan pour enquêter sur le problème. L’Information Commissioner’s Office (ICO) et le National Cyber Security Centre ont également été prévenus de l’incident, a annoncé EasyJet. Si les criminels ont effectivement pu avoir accès aux données d’environ 9 millions de clients, EasyJet a déclaré qu’il n’y a actuellement aucune preuve que ces informations aient été utilisées à mauvais escient. Toute menace n’est cependant pas écartée. « Nous prenons la cybersécurité de nos systèmes très au sérieux et avons mis en place des mesures de sécurité solides pour protéger les informations personnelles de nos clients », a expliqué Johan Lundgren, PDG d’EasyJet, dans un communiqué.
« Il s’agit cependant d’une menace en évolution, car les cyberattaquants deviennent de plus en plus sophistiqués », a-t-il ajouté. La compagnie aérienne a ainsi déclaré que tous les clients concernés seront contactés dans les prochains jours. « Sur la recommandation de l’ICO, nous contacterons les clients dont les informations de voyage ont été consultées et nous leur conseillons d’être extrêmement vigilants, en particulier s’ils reçoivent des communications non sollicitées », a déclaré Lundgren. Quoi qu’il en soit, la compagnie a déclaré que l’enquête avait révélé que les pirates visaient probablement la propriété intellectuelle de l’entreprise plutôt que des informations qui pourraient être utilisées pour le vol d’identité.
Une cyberattaque qui pourrait coûter très cher à EasyJet
L’enquête a également révélé que – si les criminels ne sont pas encore connus – il est probable qu’il s’agisse d’un groupe de pirates chinois. En effet, des similitudes avec les outils et les techniques de piratage utilisés lors de précédentes cyberattaques ont été observées. En ce qui concerne les retombées légales de l’affaire, l’ICO est également en train de mener une enquête pour examiner si EasyJet devrait être condamné à une amende en vertu du Règlement général européen sur la protection des données (RGPD). Il est à savoir qu’en vertu de ce règlement, l’ICO peut infliger une amende équivalente à 4 % du chiffre d’affaires d’EasyJet en 2019, soit le montant faramineux d’environ 285 millions d’euros.
À titre de comparaison, nous pouvons citer le cas de British Airways qui a été condamné à une amende de 200 millions d’euros en juillet 2019 après une cyberattaque qui a dévoilé les données de près d’un demi-million de clients. L’ICO a ainsi déclaré : « Nous avons une enquête en cours sur la cyberattaque impliquant EasyJet. Les gens ont le droit de s’attendre à ce que les organisations traitent leurs informations personnelles de manière sécurisée et responsable. Lorsque cela ne se produit pas, nous enquêtons et prenons des mesures énergiques si nécessaire. » L’agence a également enjoint aux gens d’être prudents et de s’informer sur son site Web sur la façon de repérer les escroqueries en cybercriminalité.
