La compagnie aérienne TAP Air Portugal – qui dessert plus de 80 destinations dans 30 pays – a annoncé le 21 septembre avoir été victime d’une cyberattaque. Aucune perturbation sur les vols n’a été remplacée. C’est en août dernier qu’elle a détecté un accès non autorisé à certains de ses systèmes informatiques, raconte-t-elle. Des mesures ont immédiatement été prises pour contenir l’attaque et les autorités ont été évitées, comme l’exigent la réglementation. Des enquêtes sont en cours.
Des données sensibles dérobées
Or, ces différentes mesures n’ont pas suffi à protéger les données personnelles des clients. En effet, le nom, nationalité, sexe, date de naissance, adresse, email, numéro de téléphone, date d’enregistrement du client et numéro de voyageur ont été dérobés par les hackers. Un beau butin pour mener des attaques par hameçonnage. En revanche, la compagnie nationale portugaise affirme qu’à ce stade, rien n’indique que des données de paiement soient concernées par ce vol.
L’incident ne s’arrête pas là puisqu’en plus d’avoir été volées, ces données ont été publiées sur le darknet par les hackers, précise la compagnie. Elle ne précise pas si les clients concernés ont été prévenus. Pour rappel, le Règlement général sur la protection des données (RGPD) l’oblige étant donné la sensibilité des données personnelles concernées.
Le nombre de clients concernés n’a pas non plus été communiqué. Certains médias avancent le chiffre de 1,5 million de personnes. Une information qui n’a pas été avérée par l’entreprise portugaise.
Des entreprises mal sécurisées
Cet incident se rajoute à la longue liste des fuites de données dont les compagnies aériennes ont été victimes. British Airways, Cathay Pacific et Air India ont dû faire face à des cyberattaques lors desquelles des informations sensibles ont été dérobées. La preuve que la cybersécurité est loin d’être acquise même pour les grandes entreprises.
Il reste à avoir si TAP Air Portugal un système d’information suffisamment protégé. Dans le cas contraire, elle pourrait être suivie. Ce fut le cas de Cathay Pacific qui a été condamnée à une amende de 500 000 livres sterling par l’Information Commissioner’s Office (ICO), l’équivalent britannique de la Commission nationale de l’informatique et des libertés (Cnil), pour avoir failli à son obligation de sécurité.
