Information Commissioner’s Office, Penalty Notice COM08783542 du 16octobre 2020 contre British Airways plc

Le 6 septembre 2018, British Airways a annoncé au Information Commissioner’s Office (ICO), l’au­to­rité britan­nique de protec­tion des données, avoir été victime d’une viola­tion de données (data breach ; art. 4 ch. 12 RGPD). En effet, entre le 22 juin et le 5 septembre 2018, des hackers ont eu accès aux données de British Airways, notam­ment des numé­ros de cartes de crédit, dont le numéro CVV, d’en­vi­ron 321’000 clients.

Le 16 octobre 2020, l’ICO a rendu sa déci­sion condam­nant British Airways à une amende de £20’000’000.-. En résumé, elle lui reproche de ne pas avoir protégé l’in­té­grité et la confi­den­tia­lité des données (art. 5 par. 1 let. f RGPD), ainsi que de ne pas avoir mis en place « les mesures tech­niques et orga­ni­sa­tion­nelles appro­priées afin de garan­tir un niveau de sécu­rité adapté au risque » au sens de l’art. 32 RGPD. Le montant de l’amende a néan­moins été réduit dras­ti­que­ment (l’ICO avait mentionné en 2019 le chiffre de £ 183’390’000.-), notam­ment en raison de la crise du coro­na­vi­rus et de ses consé­quences pour la compa­gnie aérienne.

La déci­sion de l’ICO nous donne quelques indi­ca­tions sur le dérou­le­ment du hacking, même si de nombreux passages sont logi­que­ment caviardés.

On retien­dra notam­ment que l’ori­gine de l’at­taque provient du fait que les hackers ont tout d’abord réussi à se procu­rer les iden­ti­fiants (nom d’uti­li­sa­teur et mot de passe) d’un employé d’une société tierce (Swissport). Or ce compte n’était pas protégé par une authen­ti­fi­ca­tion forte. Première erreur… En effet, les hackers cherchent logi­que­ment des portes d’en­trée les plus vulné­rables (« supply chain attack »). L’accès au compte de l’employé de Swissport leur a permis en l’es­pèce d’ac­cé­der au réseau interne de British Airways.

L’entreprise d’avia­tion s’est défen­due en produi­sant son contrat avec Swissport, lequel prévoyait des infor­ma­tions sur la sécu­rité des mots de passe. Néanmoins, selon l’ICO, un simple accord impo­sant des mesures à la société tierce n’était pas suffi­sant. En outre, British Airways prévoyait dans ses propres direc­tives internes l’uti­li­sa­tion de l’au­then­ti­fi­ca­tion forte. Elle aurait ainsi égale­ment dû la prévoir pour les socié­tés tierces.

Grâce à l’ac­cès de l’employé, les hackers ont ensuite réussi à casser des portes de sécu­rité, afin d’avoir accès à des systèmes qui n’étaient en prin­cipe pas acces­sibles aux employés externes. Bien que les détails de cette partie de l’at­taque soient caviar­dés, on retien­dra que les hackers ont fina­le­ment réussi à redi­ri­ger les utili­sa­teurs du site Internet de British Airways sur BAways​.com pendant plusieurs jours. Les hackers rece­vaient ainsi les infor­ma­tions des cartes de crédit des utili­sa­teurs. Ces derniers ne se doutaient de rien puisque leurs infor­ma­tions étaient égale­ment trans­mises à British Airway. Leurs réser­va­tions de vols avaient ainsi effec­ti­ve­ment lieu.

Outre le reproche de l’ab­sence de l’au­then­ti­fi­ca­tion forte pour les employés de socié­tés tierces, l’ICO souligne que British Airways n’au­rait pas dû garder les numé­ros CVV des cartes de crédit. De plus, la majo­rité de ces numé­ros n’était pas cryp­tée. Or, au moins avec l’en­trée en vigueur du RGPD le 25 mai 2018, British Airways aurait dû procé­der à des véri­fi­ca­tions internes, afin de s’as­su­rer que son système proté­geait correc­te­ment les données person­nelles et qu’il respec­tait le prin­cipe de mini­mi­sa­tion des données (data mini­mi­sa­tion ; art. 5 par. 1 let. c RGPD).

British Airways a tenté de se défendre en souli­gnant que les hackers avaient utilisé des méthodes parti­cu­liè­re­ment sophis­ti­quées. L’ICO lui répond que non seule­ment de telles attaques sont courantes contre des grandes entre­prises, mais que l’at­taque n’at­tei­gnait en l’es­pèce pas un tel degré de complexité qu’elle permet­trait à British Airways d’ex­clure toute respon­sa­bi­lité. Au contraire, pour chacune des étapes de l’at­taque, British Airways aurait pu et dû mettre en place des mesures de sécu­rité qui auraient permis d’évi­ter ce data breach.

Dans la dernière partie de sa déci­sion, l’ICO explique de manière circons­tan­ciée les éléments factuels perti­nents pour déter­mi­ner le montant de l’amende admi­nis­tra­tive en appli­ca­tion de l’art. 83 RGPD. Elle souligne notam­ment que la viola­tion de donnée concerne un nombre impor­tant de données person­nelles, dont des données financières.

S’il faut rete­nir une seule chose de cette déci­sion, c’est à notre avis l’im­por­tance de mettre en place une authen­ti­fi­ca­tion forte. La mise en œuvre d’une telle mesure est d’ailleurs obli­ga­toire pour les pres­ta­taires de service de paie­ment au sein de l’Union euro­péenne (art. 97 DPS2), bien que sa mise en œuvre fasse pour l’ins­tant l’ob­jet d’une certaine souplesse.