EasyJet a mis plus de 2 mois à réparer la fuite de données touchant 9 millions de clients - Cyberguerre

by

Un message envoyé par EasyJet à ses 9 millions de victimes de la fuite de données précise l'ampleur du problème technique. Les données ont fuité pendant près de 5 mois, et il s'est écoulé près de deux mois entre le repérage de la fuite et sa réparation.

La chronologie de la gestion de la fuite d’EasyJet devient de plus en plus précise, grâce à de nouvelles informations communiquées par le groupe. Comme annoncé le 19 mai, l’entreprise aérienne low cost a prévenu progressivement les 9 millions de victimes de sa fuite de données. En avril, elle avait déjà prévenu un petit groupe de 2 208 clients dont les données bancaires avaient été exposées.

Le site britannique The Register s’est procuré un de ces emails adressés aux clients, dont il donne un extrait : «  Notre enquête conclut que votre nom, adresse email, et vos détails de voyages ont été consultés pour les vols EasyJet flight et EasyJet holidays que vous avez réservés entre le 17 octobre 2019 et le 4 mars 2020. Votre passeport et les informations de votre carte de crédit n’ont pas été consultés, mais d’autres informations, dont votre destination de départ et d’arrivée, l’heure du départ, le numéro, l’heure et le montant de vos réservations ont été consultées. Nous sommes désolés de ce qu’il s’est passé.  » Cet email confirme plusieurs informations qui restaient floues dans le communiqué initial.

https://cyberguerre.numerama.com/content/uploads/sites/2/2020/05/EasyJet-1024x576.jpg
EasyJet a concédé une fuite de données affectant 9 millions de clients. // Source : Arpingstone/Wikipedia

EasyJet redoute l’exploitation malveillante des données de ses clients

Pour commencer, EasyJet confirme clairement que des personnes ont eu un accès non autorisé aux données de ses clients. Et puisque les personnes qui ont accédé aux bases de données sont vraisemblablement des hackers malveillants, ils auront téléchargé les données. À partir de là, il existe deux scénarios : les pirates peuvent les exploiter eux-mêmes, ou bien les revendre au marché noir à un ou plusieurs groupes (ou bien faire les deux à la fois).

Grâce aux adresses email fuitées — qui sont en plus liées à l’identité –, des cybercriminels pourraient lancer de campagnes de phishing massives. Ils cibleraient ces adresses avec des tentatives d’arnaques financières, de vols d’identifiant, ou pour déployer des logiciels malveillants. Puisqu’ils disposent d’informations sur les voyages des victimes de la fuite, ils peuvent même personnaliser les emails pour les rendre plus convaincants, et pousser leurs cibles à cliquer sur les liens malveillants.

C’est cette crainte qui a motivé la décision d’EasyJet de prévenir ses clients au sujet de la fuite, sous l’avis de l’ICO, le régulateur britannique des données. Le groupe de transport aérien donne dans son email plusieurs conseils et ressources pour repérer l’hameçonnage : il espère ainsi limiter les conséquences de la fuite.

Les données ont été exposées pendant 5 mois

L’email d’avertissement envoyé aux victimes donne également des précisions sur la chronologie de la fuite. Le groupe avait déjà précisé dans son communiqué qu’il avait repéré la fuite en janvier.  En analysant l’historique (les logs) de connexion, le groupe a sûrement pu préciser la date de début de la faille — le 17 octobre 2019 — et nous apprend dans la foulée que les données ont été exposées pendant près de 5 mois.

Mais surtout, le groupe précise indirectement qu’il a mis plus de deux mois à corriger le problème technique : il a été prévenu en janvier, mais les données compromises s’étendent jusqu’au 4 mars 2020. EasyJet avait évoqué une « cyberattaque sophistiquée », et il semble qu’il ait eu des problèmes à réparer les dégâts. Pendant deux mois, EasyJet avait donc connaissance de la fuite, mais n’avait pas les moyens de la boucher.

Une crise dans la crise

Parallèlement à ce problème de cybersécurité, le groupe doit gérer la crise du secteur liée à la pandémie Covid-19. Le trafic aérien a plongé depuis mars, et le groupe a fermé 4 000 emplois temporaires. EasyJet a aussi des problèmes en interne : le fondateur de l’entreprise, Stelio Haji-Ioannou, a tenté de faire licencier les dirigeants, avant de se faire  lui-même exclure par les autres actionnaires. En cause : l’homme d’affaires veut faire annuler une commande d’avions Airbus chiffrée à plus de 5 milliards d’euros, qu’il juge trop importante compte tenu de la crise actuelle.

En plus de la perte de chiffre d’affaires liée à la quasi-paralysie du secteur, Easyjet pourrait avoir une très grosse amende à payer. L’an dernier, son concurrent British Airways avait écopé d’une amende de 183 millions de livres, soit plus de 200 millions d’euros, pour une affaire similaire. Seulement, la fuite de British Airways ne touchait « que » 500 000 clients, soit 18 fois moins de personnes que EasyJet. L’ICO — en contact avec l’entreprise aérienne depuis plusieurs mois — pourrait donc décider d’infliger une amende encore plus importante. En parallèle, un recours collectif a été déposé, d’après Computer Weekly. Le cabinet d’avocat PGMBM, en charge de défendre les victimes de la fuite, réclame 18 milliards de livres sterling, soit 2 000 livres par client affecté.