Discussion :

[Bill Fassinou]

UK : les hackers dérobent les informations de cartes de crédit de 380 000 clients de British Airlines
en piratant son site web de réservation

Il y a environ deux mois, on vous parlait de pirates qui, grâce à un balayage du net, repéraient tous les systèmes ouverts au contrôle à distance et compromettaient les données de ces systèmes. Ils avaient jeté leur dévolu sur un aéroport et s’étaient emparés des informations permettant d’accéder aux systèmes informatiques de celui-ci. Ces informations ont, par la suite, été mises en vente sur le dark web pour la modique somme de 10 dollars US.

Quiconque ayant vu l’annonce et étant disposé à débourser les 10 dollars aurait donc pu se procurer les données d’accès aux systèmes de cet aéroport. Ce qui est extrêmement inquiétant. Des failles, il y en a partout, et c’est un fait auquel les aéroports ne font malheureusement pas exception. Eh bien, nous savons également désormais que même les compagnies aériennes ne sont pas épargnées. Une preuve (s’il en faut encore une) est le récent piratage dont British Airways a été victime.

En effet, British Airways a annoncé que des pirates avaient réussi à s’infiltrer dans ses systèmes et à voler les informations de cartes de crédit d’au moins 380 000 clients. Les systèmes compromis dans l’attaque étaient le site web et l’application mobile de réservation de vols de la compagnie. Les pirates ont réussi à rester incognito pendant 16 jours soit du 21 août au 5 septembre. Pendant cette période, ils ont pu recueillir des jeux d’informations comprenant les noms, adresses mail, adresses personnelles et informations de cartes de crédit des clients. La compagnie assure cependant que les données liées aux voyages et aux passeports sont restées saines et sauves tout le long de ces 16 jours.

British Airlines a pris ses responsabilités et a présenté ses excuses aux clients dont les données avaient été compromises. Dans un mail adressé à ceux-ci, la compagnie assure « être profondément désolée » et recommande aux clients de « contacter leur banque ou fournisseur de cartes de crédit et de suivre les conseils » pour ce genre de situations.

« Nous prenons très au sérieux la protection de vos informations personnelles. Veuillez accepter nos excuses les plus profondes pour les soucis et désagréments causés par cette activité criminelle », peut-on également lire dans le mail explicatif envoyé par la compagnie qui s’est empressé d’assurer que la brèche avait été colmatée et que les services fonctionnaient normalement désormais. Par le biais d’un communiqué, la compagnie a également assuré les clients qu’elle avait informé la police et les autorités compétentes et qu’elle les tiendrait au courant de toute évolution que le dossier pourrait connaître.

S’exprimant sur le sujet, Alex Cruz, le CEO de la compagnie a réitéré les excuses de British Airlines et indiqué qu'une indemnisation pourrait être envisageable pour quiconque aurait perdu de l'argent. « Je dois comprendre l’ampleur des dommages, pour le moment nous n’avons eu vent d’aucun impact négatif potentiel. Mais oui, nous sommes disposés à discuter avec nos clients de tout effet négatif que cet événement pourrait avoir sur leur carte de crédit », a-t-il déclaré.

Comme on pouvait s’y attendre, les conséquences de cette violation ont été quasi-immédiates sur le cours de la bourse. International Airlines Group, l’entreprise mère de British Airlines, a vu le cours de ses actions chuter de presque 4 % à l’ouverture des marchés ce matin. Plus de 500 millions de livres sterling ont donc disparu de la valeur boursière de l’entreprise.

Source : Sky News

Et vous ?

Qu'en pensez-vous ?
Quel est votre sentiment à propos de cette violation ?

Voir aussi

Des informations permettant de pirater les équipements d'un aéroport seraient en vente pour 10 dollars US sur le dark web

Une firme de sécurité poursuivie pour ne pas avoir pu détecter un malware qui a permis de pirater les données de plus de 650 clients d'une entreprise

Six tendances en sécurité et gestion du risque qui pourraient être bénéfiques à votre entreprise selon Gartner

[Anselme45]

Heureusement que l'avenir de l'informatique est au Clouuuuuuuuuuuuuuuuuuuuuuuuuuud!


On le dira jamais assez:

Toute donnée enregistrée sur un système connecté d'une quelconque manière à l'internet est... et sera à jamais piratable!

Déjà qu'il est quasiment impossible de sécuriser l'accès aux données à l'interne (un salarié qui en veut à son entreprise peut faire des dégâts énormes), des données accessibles de l'extérieur seront corrompues tôt ou tard... La question n'est plus de savoir si les données vont être piratées mais quand.

[Patrick Ruiz]

En application du RGPD, British Airlines risque une amende de 183 millions de livres
Suite au piratage de son site web de réservation

Au troisième trimestre de l’année précédente, British Airlines a passé l’annonce selon laquelle des pirates ont réussi à s’infiltrer dans ses systèmes et à dérober les informations de cartes de crédit d’au moins 380 000 de ses clients. Il y a du nouveau à ce sujet. Primo, pour ce qui est des chiffres, ce sont 500 000 clients de la compagnie aérienne qui ont été affectés. Secundo, il y a des détails supplémentaires quant à la façon dont les pirates ont procédé.

D’après une récente publication de l’Information Commissioner’s Office (ICO), les attaquants sont parvenus à diriger les clients vers une copie piégée du site web de réservation. C’est ensuite par ce biais qu’ils ont pu procéder à la collecte des données (noms, adresses mail, adresses personnelles, numéros de cartes de crédit et codes CVV). En sus, l’ICO donne des détails sur la période à laquelle la pénétration des systèmes informatiques de l’entreprise a eu lieu. Selon ses estimations, la compromission du site web a débuté au mois de juin 2018. Les premiers signalements de l’attaque ne seraient survenus que 3 mois plus tard, soit en septembre 2018.

« Lorsqu’on parle de données personnelles, le mot clé est personnel. Lorsqu'une organisation ne parvient pas à les protéger contre la perte, les dommages ou le vol, c'est plus qu'un inconvénient. La loi est claire, quand on vous confie des données personnelles, vous devez vous en occuper. Ceux qui ne le font pas devront se soumettre à un examen minutieux de mon bureau pour vérifier qu'ils ont pris les mesures appropriées pour protéger les droits fondamentaux à la vie privée », a déclaré la commissaire à l'information, Elizabeth Denham.

En droite ligne avec cette déclaration l’ICO annonce son intention d’infliger une amende de 183 millions de livres sterlings. Cette sanction intervient moins d'un an après que l'organisme de réglementation a infligé une amende de 500 000 livres à Facebook pour le scandale de Cambridge Analytica. L'écart entre les montants est considérable et à mettre sur le compte des changements en matière de réglementation . En effet, l'amende infligée à Facebook était le montant maximum autorisé par l'ancien règlement britannique sur la protection des données personnelles – le Data Protection Act de 1998. Le Règlement Général sur la Protection des Données (RGPD) pour sa part impose d'infliger aux entreprises qui tombent sous le coup de violations de données des amendes qui vont jusqu'à un maximum 4 % de leur chiffre d'affaires mondial. L’amende que l’ICO entend infliger à British Airlines représente 1,5 % du chiffre d’affaire de la compagnie en 2017.

« Le fait que British Airways continue d’affirmer qu’il n’y a pas eu d’activité frauduleuse en lien avec ce piratage justifie cette amende. Ma carte Amex a été clonée et utilisée et il est clair que les données proviennent de cet incident. Réveillez-vous British Airlines. Vos systèmes informatique ne sont pas terribles », s’indigne une victime via le réseau social Twitter.

British Airways, qui a depuis lors renforcé sa sécurité sur Internet, peut faire appel des conclusions et du montant de l'amende avant que l'ICO ne rende une décision finale. La compagnie dispose de 28 jours pour mener des démarches dans le but d’influer sur la conclusion de l’ICO. Dans tous les cas, British Airways aura un montant à verser. Ce dernier sera réparti entre toutes les autorités européennes en charge de la protection des données. Le trésor britannique pour sa part est chargé d’encaisser les fonds issus de ce cas via l’ICO.

Source : ICO

Et vous ?

Que pensez-vous des dispositions du RGPD en matière d’amendes ?

Voir aussi :

Cambridge Analytica aurait fait du profilage de 50 millions d'utilisateurs de FacebookPour influer sur les élections US et le vote du Brexit
L'Italie inflige à Facebook une amende d'1,1 million de dollars pour utilisation abusive de données par Cambridge Analytica
Facebook pourrait être frappé par une « amende record » par la FTC pour atteinte à la vie privée dans l'affaire Cambridge Analytica, selon un rapport
Des informations permettant de pirater les équipements d'un aéroport seraient en vente pour 10 dollars US sur le dark web
Une firme de sécurité poursuivie pour ne pas avoir pu détecter un malware qui a permis de pirater les données de plus de 650 clients d'une entreprise

[clementmarcotte]

Juste 380 000. Ils ne sont pas de taille. Admettons que lui était sur place et qu'il n'avait pas à passer par le réseau. mais bon, c'est juste un "détail".


https://www.journaldemontreal.com/20...sans-precedent