204 millions d’euros d’amende pour British Airways après un vol massif de données bancaires de ses clients
204 millions d’euros d’amende pour British Airways après un vol massif de données bancaires de ses clients
Le Monde.fr avec AFP
429 000 clients ont été touchés par deux vols successifs des données bancaires qu’ils avaient données sur le site de la compagnie aérienne en 2018.
Ces vols de données inquiètent d’autant plus que la compagnie n’en est pas à son premier problème informatique. / Hannah Mckay / REUTERS
La compagnie aérienne British Airways a annoncé lundi 8 juillet qu’elle devrait verser une amende de 183 millions de livres (204 millions d’euros) à l’organisme britannique chargé de la protection des données personnelles, l’ICO, après le vol, en 2018, de données financières de centaines de milliers de clients.
« Nous sommes surpris et déçus des conclusions initiales de l’ICO », a déploré le PDG de British Airways, Alex Cruz, dans un communiqué. « British Airways a répondu rapidement à l’acte criminel du vol des données de ses clients. Aucune preuve d’activité frauduleuse sur les comptes touchés par ce vol n’a été trouvée », a-t-il poursuivi. Willie Walsh, le directeur général d’IAG, la maison mère de la compagnie, a annoncé son intention de négocier avec l’ICO sur ce sujet et de faire appel.
1,5 % de son chiffre d’affaires
Début septembre 2018, British Airways avait révélé avoir été touchée par une cyberattaque fin août et début septembre, suite à une faille informatique, avec le vol de données financières qui pouvait alors concerner, selon elle, 380 000 cartes de paiement.
A la fin du mois d’octobre, la compagnie avait précisé que 244 000 cartes avaient été effectivement affectées. Les informations dérobées portaient sur le nom, l’adresse, l’adresse e-mail des clients et, surtout, les données de cartes bancaires, à savoir le numéro, la date d’expiration et le code sécurisé à trois chiffres.
Toujours fin octobre, British Airways avait ajouté que 185 000 autres clients s’étaient fait dérober leurs données financières entre le 21 avril et le 28 juillet, soit bien plus tôt que la date connue, jusqu’alors, de la cyberattaque.
Le montant de l’amende infligée par l’ICO représente 1,5 % du chiffre d’affaires annuel de British Airways en 2017. British Airways avait promis en septembre des compensations pour les voyageurs financièrement lésés. Elle a toutefois réaffirmé, lundi, qu’elle n’avait été informée d’aucun vol d’argent chez les clients touchés par ce piratage informatique.
« Magecart »
Selon l’entreprise de sécurité informatique américaine RiskIQ, la technique utilisée pendant l’été 2018 pour voler les données est couramment employée. Connue sous le nom de « Magecart », elle permet aux pirates d’aspirer les données bancaires en injectant un petit morceau de code informatique dans les pages de réservation du site. Ces 22 lignes de texte enregistraient les mouvements de la souris et les clics sur les pages de paiement, et les pirates ont ainsi pu reconstituer les informations bancaires entrées par les utilisateurs. Le même groupe est très fortement suspecté d’être à l’origine du vol de coordonnées bancaires sur le site de réservation de spectacles Ticketmaster, fin juin.
Ces vols de données, néfastes pour la crédibilité du transporteur, avaient d’autant plus inquiété que la compagnie n’en était pas à son premier problème informatique : une panne géante avait touché ses systèmes au mois de mai 2017 en raison d’un problème d’alimentation électrique.