James Lyne, Sans Institute, commente le piratage de British Airways
septembre 2018 par SANS INSTITUTE
Suite au piratage des données de British Airways, James Lyne, Head of Research and Development chez Sans Institute, commente :
« Premièrement, l’étendue exacte des données perdues n’est pas claire. La déclaration sur le site web de British Airways indique que "les données personnelles et financières des clients effectuant ou modifiant des réservations sur notre site web et notre application ont été compromises". La déclaration recommande aux clients concernés de faire opposition sur leur carte de crédit. Sans préciser quelles données "personnelles" ont été perdues ce qui, dans certains cas, peut amplifier la portée de la fraude. British Airways devrait donc apporter des éclaircissements à ce sujet dès que possible. Il est intéressant de noter que British Airways offre de payer à ses clients touchés un service de vérification de comptes.
British Airways laisse entendre qu’elle a été victime d’une attaque sophistiquée, comme le font de nombreuses entreprises dans une situation de vol de données. Et ce n’est que lorsque d’autres détails sont dévoilés que le piratage est qualifié de cyberattaque criminelle. Souvent, les détails d’un piratage de données ne sont pas connus au moment de la communication initiale. En effet, la rapidité avec laquelle les entreprises sont tenues d’aviser les clients d’un vol de données, en vertu de la RGPD, est une chose positive mais pourrait aggraver la situation. Les clients doivent donc surveiller les mises à jour au cas où d’autres informations les concernant seraient mises à leur disposition au fur et à mesure que l’enquête se poursuit.
British Airways déclare que ses données étaient chiffrées. Le chiffrement peut et doit être appliqué à plusieurs niveaux au sein d’une entreprise, entre l’ordinateur du client et les serveurs British Airways. Un schéma de chiffrement standard qui est déployé pour tout, des banques aux réservations de vols en passant par la connexion aux médias sociaux. Derrière ce processus sur les serveurs, les données doivent également être chiffrées là où elles sont stockées. Une étape souvent négligée ou mal appliquée par les entreprises.
On pourrait supposer qu’une entreprise de la taille de British Airways et avec ses exigences en matière de traitement des données aurait appliqué le chiffrement à ce niveau. Cependant, il arrive souvent que le logiciel qui gère les données soit piraté ou que les clés de chiffrement soient perdues. Si c’est le cas, les données peuvent tout aussi bien ne pas être chiffrées. Comme nous l’avons vu dans d’autres attaques, les clés de la base de données chiffrée sont parfois stockées juste à côté, ce qui permet à un cybercriminel d’y accéder.
Il est à espérer que d’autres détails seront bientôt fournis sur la façon dont le piratage s’est produit, par exemple si seul le site Web ou l’application ont été touché ou les deux à la fois, et si une tierce partie a été impliquée. D’ici là, les clients concernés devraient accepter l’offre de British Airways de payer pour un service de vérification de compte, suivre leurs conseils pour contacter leur banque et suivre la situation pour obtenir des informations supplémentaires. »