Dans un communiqué publié le 19 mai dernier, le conseil d’administration de la compagnie aérienne Easyjet explique avoir été été la cible d’une attaque « hautement sophistiquée » impliquant environ 9 millions de clients (1).
L’enquête interne de la compagnie aérienne britannique a révélé que les adresses e-mails et les détails de voyage d’environ 9 millions de clients ont été consultés ainsi que les données de cartes bancaires de 2 208 clients. Easyjet affirme en revanche que les hackers n’ont pas pu avoir accès aux données des passeports.
Les mesures de protection adoptées par Easyjet
La compagnie a indiqué avoir immédiatement bloqué les accès non autorisés à sa base de données et alerté le National Cyber Security Centre (NCSC), organisation britannique sur la cybersécurité, ainsi que l’autorité de contrôle anglaise, l’Information Commissioner’s Office (ICO), a qui elle a notifié la violation de données en vertu de l’article 33 du RGPD.
Selon la compagnie, rien n’indique que des informations personnelles aient été utilisées à des fins malveillantes. Cependant, sur la recommandation de l’ICO, elle a décidé d’informer les clients dont les détails de voyage ont été consultés. L’information sur les mesures de protection à adopter permet de minimiser tout risque potentiel d’utilisation des données personnelles à des fins d’escroqueries en ligne.
Le vol de données personnelles dans les fichiers d’entreprises ou d’administrations ne cesse d’augmenter. Ces intrusions dans les systèmes de traitement automatisé de données ont pour but de réutiliser les données obtenues pour des opérations d’escroquerie à la vente à distance ou pour du phishing (hameçonnage) visant les clients identifiés.
Elles peuvent aussi être simplement revendues sur le dark web. Elles serviront à d’autres cyberdélinquants à des fins d’escroqueries financières plus classiques (crédit à la consommation par exemple). La Cnil diffuse régulièrement sur son site Internet des alertes sur ce type d’escroqueries.
Anne Renard
Lexing Conformité & Certification
Isabelle Pottier
Lexing Département Etudes et publications
(1) Easyjet PLC, « Notice of cyber security incident », Released 19 May 2020, RNS Number 3627N.