Fuite de données de British Airways : vers 204 millions d'euros d'amende... et ça ne passe pas

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Fuite de données de British Airways : vers 204 millions d'euros d'amende... et ça ne passe pas

Publié le 08 juillet 2019 à 17:10 par Jérôme G.

Lire sur mobile

Pour le vol de données personnelles et financières de clients l'année dernière, British Airways devrait écoper d'une amende de près de 204 millions d'euros. Une décision en lien avec le RGPD que la compagnie aérienne a du mal à digérer.

En charge de la protection des données personnelles, l'Information Commissioner's Office annonce son intention de sanctionner la compagnie aérienne British Airways d'une amende de 183,39 millions de livres (près de 204 millions d'euros) pour la fuite de données de 2018.

Cet incident de cybersécurité avait été signalé par British Airways en septembre 2018 et aurait débuté en juin 2018. Les données personnelles de presque 500 000 clients, dont des informations financières, ont été compromises selon l'ICO. Son enquête souligne de mauvaises procédures en matière de sécurité informatique qui ont été améliorées depuis.

La compromission des données avait touché des clients qui avaient effectué ou modifié des réservations sur le site web et l'application de British Airways. L'ICO met en avant la redirection d'une partie du trafic des utilisateurs sur le site de British Airways vers un site frauduleux.

The ICO has issued a notice of its intention to fine
British Airways £183.39M for infringements of the General Data Protection
Regulation (GDPR).https://t.co/TdUYIDWqBf
— ICO (@ICOnews) 8 juillet 2019

L'année dernière, la société de cybersécurité RiskIQ avait analysé des pages web de British Airways. Elle avait découvert une injection d'une vingtaine de lignes de code JavaScript suspectes avec un chargement depuis la page d'information sur la récupération de bagages. Un script enregistrait les événements de clic avec la souris ou d'appui sur un écran tactile.

Un groupe connu en tant que Magecart - ou du moins une technique de même nom - est suspecté d'être à l'origine de la cyberattaque.

Only a little over a month after Ticketmaster, #Magecart is back, this time taking on British Airways in a highly targeted attack that claimed 380,000 victims. Here's the scoop: https://t.co/ud5tfnsCc3 pic.twitter.com/E4m5ZCaSsQ
— RiskIQ (@RiskIQ) 11 septembre 2018

L'amende de l'ICO est en rapport avec des infractions au Règlement général sur la protection des données. Son montant correspond à 1,5 % du chiffre d'affaires annuel de British Airways en 2017. Une décision finale doit encore être rendue.

Patron de British Airways, Alex Cruz déclare dans un communiqué : " Nous sommes surpris et déçus de la conclusion initiale de l'ICO. British Airways a répondu rapidement à un acte criminel visant à voler les données des clients. Nous n'avons trouvé aucune preuve d'activité frauduleuse sur les comptes liés au vol. "

British Airways va faire part de ses observations à l'ICO. " Nous avons l'intention de prendre toutes les mesures appropriées pour défendre vigoureusement la position de la compagnie aérienne, y compris en faisant appel si nécessaire ", prévient Willie Walsh, directeur général de IAG (International Airlines Group), la maison-mère de British Airways.