Archives par mot-clé : compagnie

La compagnie des transports British Airways sanctionnée par les autorités pour pratiques inconvenantes en matière de protection des données de ses clients

Près de 400 000 clients ont été victimes d’une exposition de leurs données bancaires.

La condamnation pour ce manquement à la protection des données de ses clients s’élève à près de 22 millions d’euros d’amendes soit 20 million de livres sterling. L’amende a été imposée par l’Information Commissioner’s Office, l’autorité britannique équivalente à la commission Nationale de l’Informatique et les libertés française, chargée de veiller au respect des règles en matière de protection de données personnelles.

Cet article va aussi vous intéresser : Phishing : Les données bancaires dérobées une fois de plus

Notons par ailleurs que l’affaire remonte depuis 2018. 400 000 clients de la compagnie britannique ont vu leur donnée financière dérobées par des inconnus, durant une cyberattaque éclair. On compte parmi les données volées, des numéros de cartes de crédit.

Si l’amende est sévère en pratique, elle est notamment méritée vu la gravité de la faute. Elle serait d’ailleurs moins élevée que celle qui aurait été prévu au départ par l’agence britannique de protection des données personnelles. Cela notamment à cause de la pandémie à coronavirus qui a secoué l’entreprise britannique comme plusieurs autres de sont secteurs. La somme évoquée à l’origine par l’Information Commissioner’s Office était de 202 millions d’euros, soit 183 millions de livres sterling. Malgré cette revue à la baisse, c’est avant tout l’amende la plus élevée imposé par l’organisme en britannique. L’amende est calculée en se fondant sur les revenus générés par la compagnie aérienne.

« Les gens ont confié leurs données personnelles à British Airways et British Airways n’a pas pris les mesures adéquates pour protéger ces informations » notait la commissaire à l’information de l’ICO, Elizabeth Denham. L’accusation qui a entraîné l’amende était que la compagnie britannique n’avait pas suffisamment mi en place les protocoles suffisants pour mettre en sécurité les données personnelles de ses clients. La commission britannique estime que « les mesures prises par BA étaient insuffisantes. La compagnie aurait dû effectuer des simulations d’attaques informatiques. Elle aurait dû restreindre les accès aux seules personnes autorisées et mettre en place un durcissement des accès des prestataires via une authentification à double facteur, c’est-à-dire avec la réception d’un code secret sur son mobile à ressaisir.

Dans le détail, l’attaquant a pu accéder aux données personnelles de 429 612 clients et personnels de la compagnie. Cela inclut les noms, adresses, numéros de cartes de paiement et numéros CVV (au dos de la carte) pour 244 000 clients. Les numéros de cartes et CVV ont pu être accédés pour 77 000 clients et les numéros de carte uniquement pour 108 000 clients. Enfin, les comptes et identifiants de 612 membres du club Exécutif de BA ont pu être accédés. ». L’organisme mentionne le fait que voler des numéros de cartes bancaires s’avère dangereux pour les personnes concernées combien même que les 3 chiffres clés ne l’ont pas été. En effet on sait que certains commerçants en ligne tel que Amazon accepte le paiement sans exigé les 3 chiffres CVV

C’est selon les directives du règlement général des données personnelles, norme Européenne, que les manquements imputés à british Airways a été évalués. À l’époque des faits la Grande-Bretagne était encore membre de l’Union européenne ce qui signifie que c’est cette norme qui est applicable à l’affaire.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’industrie aéronautique vulnérables en cette période de pandémie

Le coronavirus n’a pas seulement affecté l’hygiène mondiale.

Elle a aussi porté un coup, de manière significative à la sécurité informatique des entreprises. Les secteurs les plus vulnérables pendant cette période de crise n’est nul autre que le secteur de l’aviation. L’industrie aéronautique, fortement informatisée, doit faire face, de manière continuelle au Cyberattaques qui ne cessent de fuser. « Ce risque est d’autant plus grand que la structure même de l’industrie aéronautique la rend vulnérable : un très grand nombre d’entreprises et de sous-traitants interviennent sur la fabrication d’un avion, jusqu’au fournisseur de rang 5. Chaque maillon de la chaîne offre donc une porte d’entrée potentielle aux hackers. L’industrie aéronautique est une industrie collaborative, composée d’acteurs très connectés. Elle fait intervenir de nombreux fournisseurs de petite taille pour lesquels investir dans des moyens de protection et recruter un directeur de la sécurité informatique peut s’avérer coûteux. ». Expliquait David Luponis, Associé Cybersécurité chez Mazars.

Cet article va aussi vous intéresser : La compagnie aérienne Cathay Pacific et compagnie à payer 500 000 livres pour la fuite de données

Concrètement il suffit d’une simple attaque subie par un seul partenaire d’une chaîne, pour que les effets puissent s’étendre aux autres maillons de la chaîne.  Toute une chaîne d’approvisionement peut-être impacter pour une seule erreur commise par un partenaire mineur. Et c’est cela un très grand problème. En ce sens que lorsque une industrie pareil est attaquée, cela met en danger la production en cours, mais aussi les secrets industrielle et les brevets. Pourtant la situation actuelle favorise très nettement des cyberattaques à longueur de journée. Ce qui était déjà le cas avant le coronavirus a gagné en puissance. Le basculement vers le travail à distance qui s’est fait dans des conditions assez hateuses, n’a pas dû véritablement faciliter les choses. Que ce soit dans l’industrie aéronautique où ailleurs, c’est à dire dans le domaine de la finance ou de la médecine, permettre à leurs employés d’avoir accès au système d’information depuis l’extérieur a mis grandement en difficultés la capacité des entreprises à protéger leurs informations internes. « Dans un marché de l’aéronautique ou le savoir-faire et l’innovation sont clés dans la réussite de l’entreprise, l’impact d’une attaque cyber, par exemple avec l’accès à des informations de brevet, pourrait mener ou amplifier les catastrophes économiques. » explique l’expert.

Les entreprises qui avait déjà une certaine mise en place pour faciliter le télétravail parce que c’était déjà dans leurs habitudes, la crise on pourra passer assez facilement sans qu’il n’y ait à subir les dégâts de grande ampleur. Le risque était limité depuis le début. Dans ce genre de contexte, on trouve des collaborateurs travaillant avec des terminaux spéciaux, homologués pour le type de travail auquel ils sont affectés, avec des solutions de connexion sécurisée tel que des VPN pour des accès à distance. Une pratique qui est vivement recommandée à toutes les entreprises qui ont décidé de faire pareil en cette période. Malheureusement cela n’a pas été le cas pour la majorité. Comme nous l’avons mentionné plus haut, s’adapter au travail à distance a été une solution qui fut adoptée un peu à la hâte. Et malheureusement les conséquences ne se font pas priées. « Pour les autres entreprises qui ont, à la hâte, équipé leurs collaborateurs de solution de secours et rarement sécurisées, la seconde vague des problèmes cyber pourraient apparaître au moment du retour au sein des entreprises des collaborateurs et de leur matériel informatique. » Souligne David Luponis. Cette remarque est correcte car, les employés depuis le télétravail ne cessent de recevoir des courriels provenant de correspondances diverses. Parmi ces correspondances bien sûr, nous pouvons compter les cybermalveillants. Il est clair que certains collaborateurs se feront infectés tôt ou tard. Si après la crise les choses devaient rentrer dans l’ordre, les responsables de sécurité devraient veiller à ce que les terminaux qui ont été utilisés ne puisse pas avoir de rapports directs avec les systèmes d’information des entreprises. Car cela risque fortement de causer un problème à rebours. Pour résumer, les ordinateurs des employés doivent être contrôlé voir nettoyer de toutes impuretés avant qu’ils ne puissent être utilisés à nouveau dans le parc informatique de l’entreprise. C’est d’ailleurs pour cette raison David Luponis insistait sur ce fait : « Les utilisateurs non soumis à des règles strictes de sécurité ou ne disposant pas de matériels professionnels et sécurisés vont être une porte d’entrée sur le système d’information. ».

Par conséquent, les entreprises doivent continuer à développer les méthodes de sécurisation de leur système. Cependant il ne faudrait pas qu’elles oublient pour autant l’après pandémie, car le risque on ne va pas disparaître immédiatement en mettant fin au télétravail, mais par la manière dont seront inclus les outils utilisés en dehors de l’entreprise dans le parc informatique.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La compagnie aérienne Cathay Pacific et compagnie à payer 500 000 livres pour la fuite de données

L’ICO, l’institution équivalente de la CNIL en Grande-Bretagne a condamné la compagnie aérienne Cathay Pacific a versé à titre d’amende une somme de 500 000 livres.

La cause pour une si forte somme est dû à une fuite de données provenant de son système d’information. Une fuite qui a exposé plus de 9,4 millions de sa clientèle. Selon les gendarmes de données personnelles anglais, le système d’information de la compagnie aérienne était mal sécurisé, par ricochet les données qu’il contenait. C’est qui a facilité l’accès à les pirates informatiques qui ont profité pour se servir.

Cet article va aussi vous intéresser : La sécurité des données personnelles gérées par les aéroports

Selon l’ICO ( Information Commissioner’s Office ) a déclaré ce lundi, que près de 111 578 clients anglais touchées par une fuite et plus de 9, 4 millions de personnes, des personnes faisant partie de la clientèle de l’agence de Hong Kong le transport aérien Cathay Pacific. L’institution anglaise est formelle sur la question : la compagnie aérienne est fautive à 100 % de ne pas avoir pris suffisamment de dispositions pour sécuriser les données de ses clients. Cette négligence de la compagnie a permis à des pirates informatiques d’avoir accès à plusieurs informations qui peuvent se révéler plus tard très fâcheux pour des personnes concernées. Le programme de sécurité utilisé par la compagnie aérienne n’était pas adapté aux exigences de protection pour un tel système. « Lorsqu’elles fournissent des informations personnelles à une entreprise, les personnes s’attendent à juste titre à ce que leurs données soient en sécurité. Ce n’était pas du tout le cas en l’espèce » explique Steve Eckersley, le responsable des enquêtes de l’OIC.

On se rappelle que déjà en 2018 précisément durant le mois d’octobre, la même compagnie aérienne avait déjà annoncé une fuite de données provenant de son système, après une intrusion informatique de personnes non autorisée. Cela avait favorisé la compromission de plusieurs informations personnelles pour permettre à non seulement identifier les victimes et aussi à engager des campagnes de piratage ciblées. On parlait notamment des informations d’identification tel que de noms et prénoms, des identifiants relatives aux passeports et autres identités biométriques, des adresses postales et électronique des numéros de téléphone les dates de naissance et les historiques de voyage. Il a même été dérobé plus de 430 numéros reliés à des cartes de crédits.

Interrogé, la compagnie Hongkongaise n’a pas nié les défauts inhérents à sa gestion des données personnelles de sa clientèle. C’est pour cette raison qu’elle a publiquement annoncé avoir « étroitement coopéré avec l’ICO et d’autres autorités compétentes » et mis tout en œuvre pour améliorer sa sécurité informatique depuis l’accident.

À titre de rappel, il ne faut pas oublier que ce n’est pas la première compagnie aérienne qui fut sanctionnée par l’institution britannique des données personnelles. En effet déjà en 2019 précisément durant le mois de juillet elle avait senti la compagnie british Airways à payer les 183 millions de livres. et cela pour les raisons que l’on connaît déjà  qui se résume à la mauvaise protection des données personnelles de sa clientèle. Pour Elizabeth Denham, la commissaire de l’ICO, « Les données personnelles des gens doivent le rester ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage