L’autorité de protection des données du Royaume-Uni (ICO) a infligé une amende de 20 millions de livres sterling à British Airways (BA) pour ne pas avoir protégé les données personnelles et financières (données des cartes de paiement) de plus de 400 000 clients.
L’enquête conduite par l’ICO a révélé que BA n’avait pas mis en œuvre des mesures de sécurité adéquates et n’avait pas pu détecter une cyber-attaque, ayant eu lieu en juin 2018, jusqu’à ce qu’elle en soit informée par un tiers deux mois plus tard.
Les pirates informatiques (pirates) ont potentiellement eu accès aux:
- données personnelles d’environ 429 612 clients et employés, y compris les noms, adresses, numéros de cartes de paiement et numéros de CVV de 244 000 clients de BA ;
- numéros de carte et de CVV combinés de 77 000 clients et les numéros de carte de 108 000 clients seulement ;
- noms d’utilisateur et les mots de passe des comptes des employés et des administrateurs de BA ;
- noms d’utilisateur et les codes PIN de 612 comptes BA Executive Club au maximum.
Selon l’ICO, la prise en compte de ces problèmes de sécurité aurait permis d’empêcher que la cyber-attaque de 2018 ne se produisent de cette manière.
En conséquence, l’ICO a émis un avis d’intention d’amende en juin 2019. Le montant initial de l’amende proposée était d’environ 183 millions de livres sterling. Toutefois, à la suite au dépôt d’autres informations et arguments de BA et en raison de l’impact de COVID-19 sur les activités de BA, l’amende a été réduite à 20 millions de livres sterling.
Par ailleurs, il est important de noter que dans la mesure où la cyberattaque a eu lieu en juin 2018, avant le Brexit, l’ICO a agi en tant qu’autorité chef-de-file. Les autres autorités de contrôle de l’UE ont approuvé la sanction et l’action par le biais du processus de coopération.
Détails de la cyber-attaque
Le 22 juin 2018, le ou les pirates (qui n’ont pas encore été identifiés) ont accédé au système informatique de BA et ce, sans être détecté jusqu’au 5 septembre 2018.
Ils ont d’abord accédé au réseau de BA via le CAG, un outil permettant aux utilisateurs d’accéder à un réseau ou à des applications à distance et que BA utilise pour donner accès à certaines de ses applications informatiques à distance.
En effet, les pirates ont réussi à obtenir les identifiants de connexion que BA avait donné à un employé de Swissport, un fournisseur. Selon l’ICO, le compte n’était pas protégé par l’utilisation d’une authentification à plusieurs facteurs (« MFA ») mais uniquement par l’utilisation d’un nom d’utilisateur et d’un mot de passe unique.
Ainsi, les pirates ont pu accéder à un ensemble d’applications disponibles pour les salariés de Swissport, et ils ont ensuite réussi à sortir de l’environnement Citrix (c’est-à-dire l’accès limité au réseau) pour pénétrer dans le réseau élargi de BA. BA ne sait pas comment les attaquants ont réussi à obtenir un tel accès.
En conséquence, ils ont réussi à accéder à un fichier contenant le nom d’utilisateur et le mot de passe d’un compte d’administrateur privilégié, stocké en texte clair, dans un dossier du serveur, ce qui leur donne potentiellement accès à tout ce qui est disponible sur le réseau.
Le 26 juillet 2018, les attaquants ont pu accéder aux fichiers journaux, en texte clair, contenant les détails des cartes de paiement pour les transactions de rachat de BA.
L’enquête a révélé que le stockage de ces informations (c’est-à-dire les détails de la carte + les numéros de CVV) n’était pas nécessaire à des fins commerciales particulières, car il s’agissait d’une fonction de test. En outre, selon BA, les données ont été stockées en texte clair, et non sous forme cryptée, à la suite d’une erreur humaine. Bien que ces activités aient eu lieu depuis 2015, la période de conservation était de 95 jours et, par conséquent, seules les données des cartes enregistrées au cours des 95 jours précédents étaient accessibles. Néanmoins, 108 000 données de cartes de paiement étaient potentiellement disponibles.
Les pirates ont également pu identifier des fichiers contenant le code du site web de BA et, entre le 14 et le 25 août 2018, ils ont redirigé les données des cartes de paiement des clients vers un autre site web, BAways.com, un site web appartenant pirates (« skimming »). Ainsi, lorsque les clients saisissait les informations relatives à leur carte de paiement sur le site web de BA, une copie était envoyée aux pirates en même temps sans interrompre la procédure de réservation et de paiement de BA.
Le 5 septembre 2018, un tiers a informé BA que des données étaient envoyées de Britishairways.com à BAways.com. L’équipe de BA a bloqué l’URL dans les 90 minutes.
BA a également mis en place des mesures techniques supplémentaires, notamment un anti-virus de nouvelle génération et un outil de détection et de réponse aux points finaux appelé Crowdstrike Falcon.
Le 6 septembre 2018, BA a notifié l’OIC et plus de 400 000 clients.
Données personnelles potentiellement consultées par les pirates
Les pirates ont potentiellement eu accès aux données personnelles d’environ 430 000 personnes, dont notamment :
- nom, adresse, numéro de carte et numéro de CVV des clients de BA ( 244 000 personnes) ;
- numéro de carte et numéro de CVV uniquement (77 000 personnes) ;
- numéro de carte uniquement (108 000) ;
- noms d’utilisateur et mots de passe des comptes des employés et des administrateurs de BA ;
- noms d’utilisateur et code PIN de 612 comptes de clubs de cadres de la BA au maximum
Sanction de l’ICO
Suite à la notification d’une violation de données personnelles par BA, l’ICO a enquêté et a initialement proposé une amende de 183,39 millions de livres sterling le 4 juillet 2019.
Bien que BA ait fourni des réponses supplémentaires, l’autorité a conclu que BA n’a pas réussi à empêcher l’attaque ni à la détecter.
BA n’a pas réussi à empêcher l’attaque
L’autorité britannique a notamment fait remarquer que :
BA n’a pas respecté les exigences de sécurité relatives à l’accès initial des pirates via le compte utilisateur de son prestataire (c’est-à-dire l’attaque de la chaîne d’approvisionnement), notamment au motif que les directives de sécurité étaient accessibles au public et que BA aurait pu les mettre en œuvre (par exemple, les directives du Centre pour la protection des infrastructures nationales de 2015 ou celles publiées par le Conseil national de la cybersécurité en janvier 2018) ;
BA aurait pu atténuer le risque qu’un pirate accède au réseau de BA en compromettant un nom d’utilisateur et un mot de passe uniques. Elle aurait pu, entre autres, mettre en place une AMF, une liste blanche d’adresses IP publiques externes et un VPN IPSec. Toutes ces options auraient été appropriées selon l’ICO. Par conséquent, BA n’a pas pris en considération le risque, l’état de l’art, le coût ou les mesures techniques disponibles pour décider des mesures de sécurité appropriées. En outre, BA aurait dû adopter des mesures de sécurité différentes pour les comptes des utilisateurs privilégiés ;
BA ne disposait pas d’une évaluation des risques à jour et n’a pas mis en œuvre les mesures appropriées pour atténuer le risque bien connu concernant l’environnement Citrix. En effet, les directives de sécurité étaient librement disponibles, y compris auprès de Citrix (par exemple, liste blanche, liste noire, processus de durcissement, etc.).
L’ICO a également suggéré que BA aurait dû entreprendre des tests rigoureux, sous la forme de simulation d’une cyber-attaque, sur les systèmes de l’entreprise.
Par ailleurs, l’Autorité a souligné le fait qu’aucune des mesures suggérées n’aurait entraîné de coûts excessifs ou de barrières techniques, certaines étant disponibles via le système d’exploitation Microsoft utilisé par BA.
BA n’a pas réussi à détecter l’attaque
Les enquêteurs de l’ICO ont découvert que BA n’avait pas détecté elle-même l’attaque du 22 juin 2018, mais qu’elle avait été alertée par une tierce partie plus de deux mois plus tard, le 5 septembre.
Bien que BA ait réagi rapidement, il n’est pas clair si et quand BA aurait identifié l’attaque elle-même. L’ICO considère qu’il s’agit d’un grave manquement en raison du nombre de personnes touchées et parce que tout préjudice financier potentiel aurait pu être plus important.
Prenant en considération l’impact de COVID-19, l’ICO a toutefois réduit la proposition initiale et a infligé une amende de 20 millions de livres sterling à BA.
