La compagnie des transports British Airways sanctionnée par les autorités pour pratiques inconvenantes en matière de protection des données de ses clients

Près de 400 000 clients ont été victimes d’une exposition de leurs données bancaires.

La condamnation pour ce manquement à la protection des données de ses clients s’élève à près de 22 millions d’euros d’amendes soit 20 million de livres sterling. L’amende a été imposée par l’Information Commissioner’s Office, l’autorité britannique équivalente à la commission Nationale de l’Informatique et les libertés française, chargée de veiller au respect des règles en matière de protection de données personnelles.

Cet article va aussi vous intéresser : Phishing : Les données bancaires dérobées une fois de plus

Notons par ailleurs que l’affaire remonte depuis 2018. 400 000 clients de la compagnie britannique ont vu leur donnée financière dérobées par des inconnus, durant une cyberattaque éclair. On compte parmi les données volées, des numéros de cartes de crédit.

Si l’amende est sévère en pratique, elle est notamment méritée vu la gravité de la faute. Elle serait d’ailleurs moins élevée que celle qui aurait été prévu au départ par l’agence britannique de protection des données personnelles. Cela notamment à cause de la pandémie à coronavirus qui a secoué l’entreprise britannique comme plusieurs autres de sont secteurs. La somme évoquée à l’origine par l’Information Commissioner’s Office était de 202 millions d’euros, soit 183 millions de livres sterling. Malgré cette revue à la baisse, c’est avant tout l’amende la plus élevée imposé par l’organisme en britannique. L’amende est calculée en se fondant sur les revenus générés par la compagnie aérienne.

« Les gens ont confié leurs données personnelles à British Airways et British Airways n’a pas pris les mesures adéquates pour protéger ces informations » notait la commissaire à l’information de l’ICO, Elizabeth Denham. L’accusation qui a entraîné l’amende était que la compagnie britannique n’avait pas suffisamment mi en place les protocoles suffisants pour mettre en sécurité les données personnelles de ses clients. La commission britannique estime que « les mesures prises par BA étaient insuffisantes. La compagnie aurait dû effectuer des simulations d’attaques informatiques. Elle aurait dû restreindre les accès aux seules personnes autorisées et mettre en place un durcissement des accès des prestataires via une authentification à double facteur, c’est-à-dire avec la réception d’un code secret sur son mobile à ressaisir.

Dans le détail, l’attaquant a pu accéder aux données personnelles de 429 612 clients et personnels de la compagnie. Cela inclut les noms, adresses, numéros de cartes de paiement et numéros CVV (au dos de la carte) pour 244 000 clients. Les numéros de cartes et CVV ont pu être accédés pour 77 000 clients et les numéros de carte uniquement pour 108 000 clients. Enfin, les comptes et identifiants de 612 membres du club Exécutif de BA ont pu être accédés. ». L’organisme mentionne le fait que voler des numéros de cartes bancaires s’avère dangereux pour les personnes concernées combien même que les 3 chiffres clés ne l’ont pas été. En effet on sait que certains commerçants en ligne tel que Amazon accepte le paiement sans exigé les 3 chiffres CVV

C’est selon les directives du règlement général des données personnelles, norme Européenne, que les manquements imputés à british Airways a été évalués. À l’époque des faits la Grande-Bretagne était encore membre de l’Union européenne ce qui signifie que c’est cette norme qui est applicable à l’affaire.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage