British Airways sérieusement sanctionné pour ses mauvaises pratiques de protection des données clients

La compagnie aérienne British Airways est condamnée à une amende de 22 millions d’euros (20 millions de livres sterling) par  l’Information Commissioner’s Office (ICO), équivalent de la Cnil en Grande Bretagne pour avoir failli à protéger les données de ses clients.

Plus de 400 000 clients ont vu leurs données pillées

Plus de 400 000 clients de la compagnie avaient été touchés par le vol de leurs données en 2018, incluant pour la plupart leurs numéros complets de leur carte de crédit. L’amende est nettement moins élevée que ce qui était prévu au départ car l’ICO a tenu compte de la crise sanitaire du Covid-19 qui fait actuellement très mal au transport aérien. L’ICO avait évoqué une amende de 202 millions d’euros (183 millions de livres sterling). Malgré tout, il s’agit de la plus grande sanction émise par l’ICO à ce jour. Elle est calculée en partie à partir des revenus de la compagnie.

British Airways a été jugé coupable de ne pas avoir suffisamment durci les procédures de sécurité d’accès à son informatique alors que la compagnie pouvait le faire à l’époque, estime l’ICO. « Les gens ont confié leurs données personnelles à BA et BA n’a pas pris les mesures adéquates pour protéger ces informations. Leur incapacité à agir était inacceptable » tranche Elizabeth Denham, Commissaire à l’information. Les lacunes de la compagnie et la sanction appliquée ont été évaluées selon les directives du RGPD. La Grande Bretagne était à l’époque des faits – en juin 2018 – pleinement partie prenante de l’Union Européenne et le RGPD totalement actif.

Dans ce vol de données, l’attaquant est passé par une passerelle destinée aux sous traitants de la compagnie.  L’attaque s’est déroulée du 22 juin au 5 septembre 2018. C’est à partir d’une passerelle de technologie Citrix d’accès des travailleurs à distance vers British Airways que l’attaquant a pu parvenir au site web de la compagnie où il a modifié un script Java. Les données de carte bancaire ont été copiées du site « britishairways.com » vers le site « BAways.com » contrôlé par l’attaquant.

Une entrée dans le système avec les identifiants d’un sous traitant

Les identifiants employés étaient ceux d’un employé de Swissport, une société de transport de marchandises, l’employé étant situé à Trinidad et Tobago. La simple connaissance du login et du mot de passe suffisaient à se connecter. British Airways n’avait pas mis d’authentification dite « à double facteur », c’est-à-dire qui requiert l’envoi par exemple d’un code sur un téléphone mobile à saisir pour se connecter. Depuis cette attaque, British Airways a mis en place l’authentification à double facteur. A l’époque, en passant par la plateforme Citrix, l’attaquant a accédé un fichier où se trouvaient le nom et le mot de passe d’un administrateur informatique, en plein texte. A partir de là, l’attaquant a trouvé les identifiants d’un administrateur de bases de données.

L’attaquant a alors accédé dans un premier temps à une base de données qui stockait les numéros de cartes bancaires des clients de British Airways, contenant la plupart du temps les 3 chiffres situés à l’arrière de la carte. Cette base de données existait alors qu’elle ne correspondait plus à aucun besoin de la compagnie. C’était une fonction de test qui était restée active bien que non nécessaire depuis décembre 2015. Les fichiers étaient purgés tous les 95 jours, mais cela laissait environ 108 000 numéros de cartes bancaires accessibles. Puis, l’attaquant a découvert comment accéder au site e-commerce de la compagnie. Il a fait en sorte que les données de paiement sur le site de britishairways.com soient envoyées en copie vers BAways.com, lui appartenant.

Cette copie n’empêchait pas la réservation ni le paiement sur le site de British Airways où tout semblait normal. La redirection a été active du 25 août au 5 septembre 2018. Le 5 septembre, British Airways a été averti par une tierce partie que des données étaient transférées vers le site BAways.com, via des commandes « Post ». Le lendemain, British Airways avertissait l’ICO que les données de plus de 500 000 clients étaient touchées. La compagnie a stoppé les redirections de trafic et mis en place la protection informatique « Crowdstrike Falcon » en réaction, totalement déployée au 16 novembre 2018. Au final, les vols de données comprenant dans la plupart des cas jusqu’aux détails complets des cartes bancaires (incluant les 3 chiffres au dos de la carte), ont touché environ 400 000 personnes.

Les règles de base de la sécurité rappelées à British Airways

L’ICO étrille British Airways dans un document de 114 pages en lui rappelant tout ce que la compagnie aurait du faire pour réellement sécuriser son système d’information. Reste qu’on ne peut s’empêcher de penser que l’ICO a le beau rôle en rappelant les règles de sécurité de base. Il est particulièrement ardu et coûteux au quotidien de sécuriser des milliers d’accès possibles sur des centaines de plateformes qui constituent désormais l’informatique des entreprises.

L’ICO estime que les mesures prises par BA étaient insuffisantes. La compagnie aurait du effectuer des simulations d’attaques informatiques. Elle aurait du restreindre les accès aux seules personnes autorisées et mettre en place un durcissement des accès des prestataires via une authentification à double facteur, c’est-à-dire avec la réception d’un code secret sur son mobile à ressaisir.

Dans le détail, l’attaquant a pu accéder aux données personnelles de 429 612 clients et personnels de la compagnie. Cela inclut les noms, adresses, numéros de cartes de paiement et numéros CVV (au dos de la carte) pour 244 000 clients. Les numéros de cartes et CVV ont pu être accédés pour 77 000 clients et les numéros de carte uniquement pour 108 000 clients. Enfin, les comptes et identifiants de 612 membres du club Exécutif de BA ont pu être accédés. L’ICO souligne que le vol des données de cartes bancaires est dangereux même en l’absence du vol des 3 chiffres de CVV car certains e-commerçants tels qu’Amazon acceptent des paiements sans ces 3 chiffres.