La semaine dernière, British Airways publiait un communiqué sur le vol des données de près de 400 000 clients dont la compagnie a fait l’objet (Vol de données personnelles chez British Airways). Ci-dessous, quelques commentaires de spécialistes en sécurité.
James Lyne, Head of Research and Development chez Sans Institute
Premièrement, l’étendue exacte des données perdues n’est pas claire. La déclaration sur le site web de British Airways indique que « les données personnelles et financières des clients effectuant ou modifiant des réservations sur notre site web et notre application ont été compromises ». La déclaration recommande aux clients concernés de faire opposition sur leur carte de crédit. Sans préciser quelles données « personnelles » ont été perdues ce qui, dans certains cas, peut amplifier la portée de la fraude. British Airways devrait donc apporter des éclaircissements à ce sujet dès que possible. Il est intéressant de noter que British Airways offre de payer à ses clients touchés un service de vérification de comptes.
British Airways laisse entendre qu’elle a été victime d’une attaque sophistiquée, comme le font de nombreuses entreprises dans une situation de vol de données. Et ce n’est que lorsque d’autres détails sont dévoilés que le piratage est qualifié de cyberattaque criminelle. Souvent, les détails d’un piratage de données ne sont pas connus au moment de la communication initiale. En effet, la rapidité avec laquelle les entreprises sont tenues d’aviser les clients d’un vol de données, en vertu de la RGPD, est une chose positive mais pourrait aggraver la situation. Les clients doivent donc surveiller les mises à jour au cas où d’autres informations les concernant seraient mises à leur disposition au fur et à mesure que l’enquête se poursuit.
British Airways déclare que ses données étaient cryptées. Le chiffrement peut et doit être appliqué à plusieurs niveaux au sein d’une entreprise, entre l’ordinateur du client et les serveurs British Airways. Un schéma de cryptage standard qui est déployé pour tout, des banques aux réservations de vols en passant par la connexion aux médias sociaux. Derrière ce processus sur les serveurs, les données doivent également être cryptées là où elles sont stockées. Une étape souvent négligée ou mal appliquée par les entreprises.
On pourrait supposer qu’une entreprise de la taille de British Airways et avec ses exigences en matière de traitement des données aurait appliqué le cryptage à ce niveau. Cependant, il arrive souvent que le logiciel qui gère les données soit piraté ou que les clés de cryptage soient perdues. Si c’est le cas, les données peuvent tout aussi bien ne pas être cryptées. Comme nous l’avons vu dans d’autres attaques, les clés de la base de données cryptée sont parfois stockées juste à côté, ce qui permet à un cybercriminel d’y accéder.
Il est à espérer que d’autres détails seront bientôt fournis sur la façon dont le piratage s’est produit, par exemple si seul le site Web ou l’application ont été touché ou les deux à la fois, et si une tierce partie a été impliquée. D’ici là, les clients concernés devraient accepter l’offre de British Airways de payer pour un service de vérification de compte, suivre leurs conseils pour contacter leur banque et suivre la situation pour obtenir des informations.
Pierre-Louis Lussan, Country Manager France, Netwrix
S’il est positif de constater que British Airways a informé ses clients au sujet de cette faille relativement rapidement, il est possible qu’un nombre de clients plus important que celui annoncé officiellement ait été touché.
Dans cette optique, les données personnelles et de paiement ayant été compromises, il est vivement recommandé que tous les clients modifient leurs mots de passe, y compris sur les sites sur lesquels les mêmes informations sont utilisées, et de contacter leur banque pour faire opposition à leurs cartes de paiement.
Comme toujours à la suite d’une violation de données, les consommateurs devraient se méfier de l’augmentation du nombre d’e-mails de phishing censés provenir de British Airways ou de banques. Les pirates informatiques chercheront toujours à tirer parti de la publicité et de l’anxiété accrue des clients à la suite d’un incident.
En ce qui concerne l’impact sur les organisations, la perte des données personnelles et financières des clients peut avoir de sérieuses répercussions sur leur réputation et, à l’ère du RGPD, de tels incidents peuvent entraîner de lourdes amendes. Pour minimiser les risques de sécurité, les entreprises doivent s’assurer qu’elles surveillent le comportement des utilisateurs et qu’elles peuvent détecter les attaques en temps réel, leur permettant d’intervenir et de mettre fin à une session suspecte avant qu’une attaque n’entraîne une perte de données ou ne compromette les systèmes.
Gerald Beuchelt, CISO, LogMeIn
Depuis quelques années, les atteintes à la vie privée et aux données personnelles et sensibles s’enchainent et mettent en péril un pan de la vie des consommateurs et des entreprises. Qu’il s’agisse du site de rencontres Ashley Madison ou encore du malware WannaCry, l’ampleur engendré par ces failles est immense.
Ces attaques ne font que commencer. Les grandes entreprises doivent absolument se rendre compte qu’il est temps pour elle de revoir leurs critères en matière de sécurité. Les hackers s’organisent de manière très professionnelle et ont des connaissances élargies leur permettant de perpétuer des attaques d’aussi grande ampleur. Des techniques nouvelles et plus audacieuses voient le jour. Chez LogMeIn, nous avons compris cela et avons décidé de passer par une approche d’hacking éthique afin de sécuriser les données des millions de nos utilisateurs via nos logiciels de collaborations utilisées à travers le monde.
Les clients doivent également limiter les dommages en remplaçant leurs divers mots de passe avec un mot de passe unique pour tous les comptes et en activant l’authentification multifactorielle si possible. Les particuliers et les entreprises devraient également faire preuve d’une vigilance accrue à l’égard de l’hameçonnage des courriels, car des attaques comme celle-ci sont l’occasion idéale pour les fraudeurs de l’utiliser à leur avantage ».
Emily Orton, directrice et cofondatrice de Darktrace
Il n’est pas surprenant que les entreprises ayant des sites web bien établis et générant beaucoup de trafic soient les cibles de cyberattaques sophistiquées, susceptibles de causer des dommages considérables à leur réputation.
Les entreprises ne peuvent pas construire une organisation moderne, interconnectée et les services technologiques que cela implique, tout en échouant à innover dans les mesures de sécurité nécessaires pour les protéger.
L’Intelligence Artificielle est essentielle pour l’avenir de la cybersécurité, car elle s’adapte aux nouvelles situations et activités. Elle permet d’identifier les menaces à un stade relativement précoce, avant même qu’elles n’atteignent les organisations. Ce nouveau modèle doit être le Saint Graal de la cyberdéfense, car l’humain ne peut plus faire face à la vitesse et la furtivité des attaquants d’aujourd’hui.