Dans un communiqué publié le 19 mai dernier, le conseil d’administration de la compagnie aérienne Easyjet explique avoir été été la cible d’une attaque « hautement sophistiquée » impliquant environ 9 millions de clients (1).
L’enquête interne de la compagnie aérienne britannique a révélé que les adresses e-mails et les détails de voyage d’environ 9 millions de clients ont été consultés ainsi que les données de cartes bancaires de 2 208 clients. Easyjet affirme en revanche que les hackers n’ont pas pu avoir accès aux données des passeports.
La compagnie a indiqué avoir immédiatement bloqué les accès non autorisés à sa base de données et alerté le National Cyber Security Centre (NCSC), organisation britannique sur la cybersécurité, ainsi que l’autorité de contrôle anglaise, l’Information Commissioner’s Office (ICO), a qui elle a notifié la violation de données en vertu de l’article 33 du RGPD.
Selon la compagnie, rien n’indique que des informations personnelles aient été utilisées à des fins malveillantes. Cependant, sur la recommandation de l’ICO, elle a décidé de communiquer avec les clients dont les détails de voyage ont été consultés. Ces derniers ont été informé des mesures de protection à adopter pour minimiser tout risque potentiel d’utilisation des données personnelles à des fins d’escroqueries en ligne.
Le vol de données personnelles dans les fichiers d’entreprises ou d’administrations ne cesse d’augmenter. Ces intrusions dans les systèmes de traitement automatisé de données ont pour but de réutiliser les données obtenues pour des opérations d’escroquerie à la vente à distance ou pour du phishing (hameçonnage) visant les clients identifiés.
Elles peuvent aussi être simplement revendues sur le dark web en vue d’être utilisées par d’autres cyberdélinquants à des fins d’escroqueries financières plus classiques (crédit à la consommation par exemple). La Cnil diffuse régulièrement sur son site Internet des alertes sur ce type d’escroqueries.
Anne Renard
Lexing Conformité & Certification
Isabelle Pottier
Lexing Département Etudes et publications
(1) Easyjet PLC, « Notice of cyber security incident », Released 19 May 2020, RNS Number 3627N.
L’article Vol des données de 9 millions de clients d’Easyjet est apparu en premier sur Lexing Alain Bensoussan Avocats.