Archives par mot-clé : british airways

British Airways et Marriott lourdement sanctionnés pour défaut de sécurisation des données personnelles de leurs clients

Il n’y a pas longtemps, les autorités sanctionnaient lourdement deux géants de leur secteur.

D’un côté la compagnie britannique de l’aviation civile British Airways et la chaîne hôtelière mondiale Marriott. Ils ont été lourdement sanctionné au paiement d’amende pouvant aller respectivement de 18 à 20 millions de livres sterling. La cause : ils n’ont pas suffisamment protégé les données personnelles de leurs clients qui était sous leur responsabilité.

Il faut noter néanmoins que cela n’est pas au niveau de l’amende records qui est toujours détenus par Google et qui s’élève à hauteur de 50 millions d’euros, imposée par les autorités françaises en 2019. Disons que cela n’est pas loin. Les sanctions des deux entreprises réprimandées ont été imposées par le l’organisme britannique chargée de veiller à la protection des données personnelles. Une tendance qui est en vigueur en Europe depuis l’adoption du règlement général des données personnelles cela fait des années maintenant. L’objectif de cette sanction et de rappeler au grands groupes qui traitent souvent des millions de données, la responsabilité quant à la sécurisation de ses informations. Informations qui dans certains contextes sont assez sensibles.

Notons qu’il est reproché au géant américain de l’hôtellerie, la négligence d’avoir laissé échapper des données appartenant à près de 339 million de personnes à travers un piratage informatique. Face à cette situation qui relève de sa responsabilité directe, l’Information Commissioner’s Office (ICO) inflige une amende de près de 18,4 millions de livres ce qui équivaut à 20,4 millions d’euros. Plusieurs types d’informations ont fuités. On dénombre entre autres des adresses, des noms et prénoms, des numéros de passeport, des numéros de téléphone, des dates de naissance, des programmes de fidélité, des dates de venue et de départ des hôtels. Des informations assez sensibles pris dans un contexte au général. Le drame dans tous ceci, le coupable de cette cyberattaque n’a pas encore été découvert. Vu que l’affaire s’est déroulée en fin septembre 2018, c’est-à-dire avant le brexit, c’est le règlement général des données personnelles, la norme européenne s’applique donc dans cette affaire. C’est d’ailleurs elle que l’organisme britannique a appliqué. Au terme de cette norme européenne, une entreprise qui ne déploie pas suffisamment de moyens pour protéger les données qui sont sous sa protection, est soumis au paiement d’une amende qui sera fixé en fonction de son chiffre d’affaire annuel. Dans ce cas particulier, vu que 30 millions de ressortissants européen est impliqué dans cette histoire, l’organisme britannique a infligé l’amende au nom de tous les pays de l’Union européenne. Un mécanisme qui a été aussi prévu par le règlement européen.

Il faut noter cependant que l’amende aurait pu être bien plus élevée. Mais l’organisme britannique en charge de données personnelles a expliqué que la somme imposée l’a été en fonction de la date d’entrée en vigueur du règlement européen et par rapport à la cyberattaque.

« Les données personnelles sont précieuses et les entreprises doivent en prendre soin. (…) Quand l’une d’entre elles manque à ce devoir, l’impact n’est pas seulement une amende, ce qui importe le plus ce sont les gens dont l’entreprise avait le devoir de protéger les données », a déclaré Elizabeth Dunham. La dirigeante de l’Information Commissioner’s Office.

Concernant la compagnie aérienne britannique, l’amende s’est levé à hauteur de 20 millions de livres soit 22 millions d’euros. Les données qui ont fuitées sous la surveillance de british Airways appartenait à près de 400 000 clients et salariés. Par ailleurs, l’organisme britannique a avait signifié qu’initialement, l’amende qui était prévu était à hauteur de 204 millions d’euros par rapport au règlement général de la protection des données. Ce qui aurait été la sanction la plus sévère application de la norme européenne. Finalement, l’amende a été plus tard revue à baisse par l’organisme britannique.

Et cela en raison des conséquences directes de la pandémie à coronavirus sur l’état financier de l’entreprise. D’ailleurs, l’entreprise qui détient la partie majoritaire de british Airways, IAG, a affirmé avoir subi une perte de plus de 5,6 milliards d’euros à cause de la pandémie depuis le début de l’année 2020. « Nous avons alerté nos clients dès que nous avons eu vent de cette attaque criminelle sur nos systèmes en 2018 et sommes désolés d’avoir déçu leurs attentes. Nous sommes heureux que l’ICO reconnaisse que nous avons fait des progrès considérables dans la sécurité de nos systèmes depuis cette attaque et que nous avons pleinement collaboré à l’enquête », déclarait le porte-parole de la compagnie aérienne.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La compagnie des transports British Airways sanctionnée par les autorités pour pratiques inconvenantes en matière de protection des données de ses clients

Près de 400 000 clients ont été victimes d’une exposition de leurs données bancaires.

La condamnation pour ce manquement à la protection des données de ses clients s’élève à près de 22 millions d’euros d’amendes soit 20 million de livres sterling. L’amende a été imposée par l’Information Commissioner’s Office, l’autorité britannique équivalente à la commission Nationale de l’Informatique et les libertés française, chargée de veiller au respect des règles en matière de protection de données personnelles.

Cet article va aussi vous intéresser : Phishing : Les données bancaires dérobées une fois de plus

Notons par ailleurs que l’affaire remonte depuis 2018. 400 000 clients de la compagnie britannique ont vu leur donnée financière dérobées par des inconnus, durant une cyberattaque éclair. On compte parmi les données volées, des numéros de cartes de crédit.

Si l’amende est sévère en pratique, elle est notamment méritée vu la gravité de la faute. Elle serait d’ailleurs moins élevée que celle qui aurait été prévu au départ par l’agence britannique de protection des données personnelles. Cela notamment à cause de la pandémie à coronavirus qui a secoué l’entreprise britannique comme plusieurs autres de sont secteurs. La somme évoquée à l’origine par l’Information Commissioner’s Office était de 202 millions d’euros, soit 183 millions de livres sterling. Malgré cette revue à la baisse, c’est avant tout l’amende la plus élevée imposé par l’organisme en britannique. L’amende est calculée en se fondant sur les revenus générés par la compagnie aérienne.

« Les gens ont confié leurs données personnelles à British Airways et British Airways n’a pas pris les mesures adéquates pour protéger ces informations » notait la commissaire à l’information de l’ICO, Elizabeth Denham. L’accusation qui a entraîné l’amende était que la compagnie britannique n’avait pas suffisamment mi en place les protocoles suffisants pour mettre en sécurité les données personnelles de ses clients. La commission britannique estime que « les mesures prises par BA étaient insuffisantes. La compagnie aurait dû effectuer des simulations d’attaques informatiques. Elle aurait dû restreindre les accès aux seules personnes autorisées et mettre en place un durcissement des accès des prestataires via une authentification à double facteur, c’est-à-dire avec la réception d’un code secret sur son mobile à ressaisir.

Dans le détail, l’attaquant a pu accéder aux données personnelles de 429 612 clients et personnels de la compagnie. Cela inclut les noms, adresses, numéros de cartes de paiement et numéros CVV (au dos de la carte) pour 244 000 clients. Les numéros de cartes et CVV ont pu être accédés pour 77 000 clients et les numéros de carte uniquement pour 108 000 clients. Enfin, les comptes et identifiants de 612 membres du club Exécutif de BA ont pu être accédés. ». L’organisme mentionne le fait que voler des numéros de cartes bancaires s’avère dangereux pour les personnes concernées combien même que les 3 chiffres clés ne l’ont pas été. En effet on sait que certains commerçants en ligne tel que Amazon accepte le paiement sans exigé les 3 chiffres CVV

C’est selon les directives du règlement général des données personnelles, norme Européenne, que les manquements imputés à british Airways a été évalués. À l’époque des faits la Grande-Bretagne était encore membre de l’Union européenne ce qui signifie que c’est cette norme qui est applicable à l’affaire.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Lourde sanction pour British Airways suite au piratage.

L’Autorité anglaise de protection des données personnelles en abrégé lCO a frappé fort en condamnant d’une amende de deux cents quatre (204) millions d’euros British Airways.

 Il faut avouer que pour son tout premier vrai cas de « data breach » depuis la mise en vigueur du GDPR, elle compte bien s’imposer. Le montant de l’amende est sans nul doute dans un élan dissuasif, mais pourrait engendrer d’autres conséquences. En effet les entreprises pourraient être amenées à déclarer de moins en moins les incidents de ce genre, pour éviter le coup de pareilles sanctions.

Cet article va aussi vous intéresser : Active Assurance condamnée à 180 000 euros d’amende par la CNIL.

L’affaire remonte depuis septembre 2018, La compagnie British Airways avait notifié à l’autorité anglaise de protection des données personnelles un problème lié à la sécurité, en conformité de l’article 33 de la GDPR qui dispose qu’en cas d’une violation de données à caractère personnel, le responsable du traitement est tenu de notifier cette violation en question à l’autorité de contrôle compétente qu’est l’ICO.

Dans le cas d’espèce, la compagnie d’aviation British Airways, s’est fait détourner le trafic internet destiné au site officiel de la compagnie vers un site factice. Plus de cinq cents milles (500.000) clients ont été victime de cette fraude, qui a permis aux Pirates de subtiliser plusieurs données telles que des données relatives à la connexion, aux informations concernant les différentes transactions des clients (aux cartes de paiement, réservations de voyages) ainsi que des informations nominatives telles que (les noms et adresses.) C’est de du distinguées classique (l’hameçonnage). La lourdeur de l’amende était surement due au fait qu’une technique aussi classique puisse confondre l’ensemble du système d’une aussi grande compagnie. L’occasion de s’interroger sur une possible négligence serait surement de mise.

Pour justifier cette amende colossale, Elizabeth Denham, responsable de l’autorité Anglaise de régulation affirme ceci : « Les données personnelles des personnes n’est que cela – des données personnelles. Lorsqu’un organisme ne parvient pas à le protéger contre la perte, les dommages ou le vol, c’est plus qu’un inconvénient. C’est la raison pour laquelle la loi est claire: lorsqu’on vous confie des données personnelles, vous devez en prendre soin. Ceux qui ne le font pas devront faire l’objet d’un examen minutieux de la part de mon bureau pour vérifier qu’ils ont pris les mesures appropriées pour protéger les droits fondamentaux de la vie privée.»

Le « data breach » est une notion qui se définit conformément à l’article 4 de la GDPR comme une violation à la sécurité d’un système entraînant ainsi de manière accidentelle ou illicite, partielle ou totale la destruction, la perte, l’altération, la divulgation ou la consultation non autorisées de d’information à caractère personnel qui sont soit transmises, soit conservées ou traitées d’une autre manière.

British Airways a bien sûr collaboré à l’enquête et cela lui a permis d’améliorer ses outils techniques de protection.

Au final de l’enquête, menée en coopération avec d’autres autorités dans la conformité du nouvel article 60, l’autorité administrative vient donc de nous communiquer son projet de décision infligeant ainsi une amende extrêmement élevée à British Airways de 204 millions d’euros.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage