CONTACT

British Airways condamnée par l’ICO à une amende de 20 millions de livres

10 novembre 2020 | Derriennic Associés |

L’autorité de contrôle britannique en matière de protection des données (« ICO ») a prononcé une amende de 20 millions de livres à l’encontre de British Airways à la suite d’une atteinte à son obligation de sécurité des données.

Entre juin et septembre 2018, une application interne de British Airways avait fait l’objet d’une attaque informatique conduite au moyen d’une « accréditation compromise », dont l’objet était d’extraire des données relatives aux cartes bancaires des clients.

L’attaquant avait, en premier lieu, eu accès aux identifiants de connexion de certains prestataires de British Airways. Il avait utilisé ces identifiants afin de se connecter à l’outil de connexion à distance de British Airways, puis avait obtenu, via une faille connue de British Airways, accès à un fichier contenant le nom d’utilisateur et le mot de passe d’un compte administrateur.

L’attaquant avait utilisé de ces données pour se connecter à différents serveurs et extraire un certain nombre de données à caractère personnel, y compris des numéros de cartes bancaires.

British Airways a été mise au fait de cette attaque, qui concernait 429 612 personnes, par un tiers, et a corrigé la vulnérabilité quelques minutes après avoir été prévenue.
Cette attaque a rapidement été portée à la connaissance de l’ICO par British Airways.

L’ICO, au terme de son enquête, a relevé que British Airways aurait pu mettre en œuvre un certain nombre de mesures de nature à assurer la sécurité des données, dont les mesures suivantes :

  • sécuriser le fichier contenant les identifiants de connexion de son prestataire ;
  • ne pas permettre aux tiers d’accéder au système de traitement de l’information au moyen d’une authentification à un seul facteur ;
  • ne pas permettre l’accès au moyen d’un mot de passe administrateur codé en dur ;
  • surveiller l’accès aux fichiers pertinents.

L’ICO a affirmé que le niveau de complexité de cette attaque n’était pas de nature à exonérer British Airways de sa responsabilité.

Compte tenu de ces manquements à l’obligation de sécurité des données, l’ICO a décidé de prononcer à l’encontre de British Airways une amende d’un montant de 20 millions de livres, au regard des éléments suivants :

  • il n’est pas certain que British Airways aurait pu prendre connaissance de la violation sans l’intervention du tiers ;
  • les données en cause comprennent des cartes bancaires en grand volume, ce qui rend la violation particulièrement inquiétante ;
  • British Airways a immédiatement pris des mesures afin de réduire le dommage subi par les personnes concernées, les a rapidement informées, ainsi que l’ICO ;
  • l’attaque a affecté l’image de marque de British Airways, ce qui a eu un effet dissuasif sur cette dernière, ainsi que sur les autres responsables du traitement ;
  • British Airways a proposé aux personnes concernées par l’attaque de leur rembourser les sommes qui auraient pu leur être volées à la suite de l’attaque ;
  • la pandémie liée à la Covid-19 a eu des conséquences négatives sur les revenus de British Airways.

Lien vers la publication de la CNIL sur le sujet : https://www.cnil.fr/fr/cybersecurite-ico-en-cooperation-avec-la-cnil-inflige-amendes-record

Lien vers la publication de l’ICO : https://ico.org.uk/action-weve-taken/enforcement/british-airways/