Compagnie aérienne australienne, Qantas indique avoir été la cible d'une cyberattaque. Elle a touché une plateforme de service client gérée par un prestataire tiers et comprenant des informations pour quelque 6 millions de personnes.
Si la sécurité des vols n'est pas affectée, la quantité de données dérobées pourrait être significative et l'action en bourse de Qantas a été malmenée après l'annonce de l'incident de cybersécurité.
L'étendue des dégâts : quelles données sont concernées ?
D'après une première analyse, les informations compromises (ou potentiellement compromises) incluent des noms, des adresses e-mail, des numéros de téléphone, des dates de naissance, ainsi que des numéros du programme de fidélité. Un butin qui pourrait être exploité dans le cadre de campagnes de phishing ciblées.
La direction de Qantas se veut rassurante sur un point. Aucune information financière, de carte de paiement ou de passeport n'était stockée sur le système ayant subi l'intrusion. Par ailleurs, les mots de passe, les codes PIN ou les identifiants des comptes pour des voyageurs n'ont pas été exposés.
« Nous nous excusons sincèrement auprès de nos clients et nous reconnaissons l'incertitude que cela va provoquer. Nos clients nous confient leurs informations personnelles et nous prenons cette responsabilité très au sérieux », déclare Vanessa Hudson, la patronne de Qantas.
Une faille via un prestataire externe
La cyberattaque n'a pas visé directement les systèmes centraux de Qantas. Les cybercriminels ont exploité une vulnérabilité sur une plateforme tierce, utilisée par un des centres d'appels de la compagnie. Cette méthode, qui consiste à cibler les maillons les plus faibles de la chaîne d'approvisionnement, est de plus en plus courante.
La compagnie aérienne a immédiatement prévenu le Centre australien de cybersécurité ainsi que la police fédérale qui ont ouvert une enquête. Des mesures de sécurité supplémentaires sont en cours de déploiement pour renforcer la surveillance.
Le groupe Scattered Spider ?
À ce stade, aucune attribution officielle n'a été faite pour la cyberattaque. Néanmoins, elle présente des similitudes avec les récentes activités du groupe connu sous le nom de Scattered Spider. Pour ce dernier, des sociétés de cybersécurité ont récemment sonné l'alerte en raison de nouvelles cibles touchant le secteur aérien et des transports aux États-Unis.
« Bien que Scattered Spider ait déjà pris pour cible des organisations internationales, notamment en Australie, il est encore trop tôt pour dire si le groupe a étendu ses activités aux compagnies aériennes australiennes », commente Mandiant.
« Les compagnies aériennes internationales doivent être en état d'alerte maximale face aux attaques d'ingénierie sociale et renforcer la rigueur de la vérification d'identité de leur service d'assistance. »
