RGPD : British Airways encourt une amende record de 183 millions de livres
La compagnie britannique avait été victime d'une fuite de données sur 500.000 de ses clients après une attaque à l'été 2018. Elle risque une amende de 1,5 % de son CA. Un signal qui montre que les entreprises doivent changer de mentalité, avertissent les experts.
British Airways encourt la plus lourde amende jamais infligée en vertu du Réglement Général sur la Protection des Données (RGPD), mais prévoit de faire appel.
L'Information Commissioner's Office (ICO) - l'équivalent de la CNIL en France - a communiqué son intention d'infliger une amende de 183,39 millions de livres à la compagnie aérienne pour infraction au règlement européen.
Jusqu'à présent, hormis une amende de 50 millions d'euros infligée par la CNIL à Google, peu d'amendes en rapport avec le RGPD ont fait les gros titres des journaux.
1,5 % du CA de British Airways
L'amende proposée se rapporte à une violation de données signalée à l'ICO par British Airways en septembre 2018.
A cette date, cet incident avait été considéré comme le premier cas test d'application concret du GDPR. En vertu des précédentes lois britanniques sur la protection des données, la sanction la plus lourde qui aurait pu être infligée était de 500 000 livres sterling. Avec le GDPR (acronyme anglais de RGPD), l'OIC a le pouvoir d'aller jusqu'à 4 % du chiffre d'affaires mondial du contrevenant. Toutefois, la sanction proposée ne représente « que » 1,5 % des revenus 2017 de British Airways.
Un site corrompu de longue date ?
Cette fuite de données personnelles était le résultat d'une compromission du site de British Airways.
Dans un billet de blog de 2018 qui décortique la méthode des attaquants, l’analyste Yonathan Klijnsma détaillait 22 lignes de code Javascript cachées dans une version modifiée de la librairie Modernizr présente sur le site de la compagnie. « La modification se trouvait à la fin du script, une technique souvent observée lorsque les attaquants modifient des fichiers JavaScript en s’assurant de ne pas en affecter les fonctionnalités », écrivait-il.
Yonathan Klijnsma expliquait par ailleurs qu'avec ce script malicieux « une fois que l’utilisateur clique sur le bouton pour soumettre son paiement au site [de BA ainsi] compromis, les informations sont extraites et envoyées au serveur de l’attaquant ».
Pour injecter ce script, l'analyste de RiskIQ concluait que les attaquants « avaient probablement accès au site Web de British Airways avant la date avancée du début de l’attaque, voire peut-être longtemps avant ».
« Il y a fort à parier que cela ne manquera pas de soulever des questions relatives à la gestion des correctifs sur les serveurs Web de la compagnie aérienne », prédisait - à raison - notre expert en sécurité, Valéry Marchive.
Au final, ce sont environ 500 000 clients dont les données été compromises.
L'ICO a enquêté sur cette affaire en tant qu'autorité de contrôle principale pour le compte d'autres autorités de protection des données des États membres de l'UE. Elle a également assuré la liaison avec d'autres organismes de réglementation.
Son enquête a confirmé que plusieurs informations sensibles - dont des identifiants et des mots de passe, des numéros cartes de paiement, des réservations de vol ainsi que des noms et des adresses - ont fuité à cause de la faiblesse des dispositions prises par l'entreprise pour assurer sa cybersécurité.
Elizabeth DenhamICO (CNIL britannique)
« Les données personnelles des gens disent bien ce qu'elles sont : personnelles. Lorsqu'une organisation ne parvient pas à les protéger contre la perte, les dommages ou le vol, c'est bien plus qu'un simple inconvénient. La loi est claire - quand on vous confie des données personnelles, vous devez vous en occuper », rappelle durement Elizabeth Denham, présidente de l'ICO. « Ceux qui n'y arrivent pas devront se soumettre à une enquête minutieuse de mon bureau, afin de vérifier qu'ils ont bien pris les mesures appropriées pour protéger les droits fondamentaux de protection de la vie privée ».
L'ICO a fait savoir que British Airways avait coopéré à l'enquête et avait apporté des améliorations à ses dispositifs de sécurité depuis la découverte de l'infraction.
La compagnie dispose à présent de 28 jours pour présenter ses remarques et ses objections.
Willie Walsh, directeur général de International Airlines Group - groupe propriétaire de British Airways - a confirmé que la compagnie aérienne fera appel auprès de l'ICO si ses arguments n'étaient pas retenus. « Nous avons l'intention de prendre toutes les mesures appropriées pour défendre vigoureusement la position de la compagnie, y compris en faisant appel, s'il y a lieu », déclare-t-il à Reuters.
Appel et bonne nouvelle
Lorsque la fuite (et la brèche) ont été rendues publiques, la réaction de British Airways a été considérée comme « rapide » par plusieurs experts en sécurité. Un point que la compagnie mettra certainement en avant lors de son appel.
En vertu des dispositions du RGPD relatives au "guichet unique", les autorités chargées de la protection des données des résidents d'autres pays qui ont pu être touchés par cette fuite auront également la possibilité de commenter les conclusions de l'ICO.
Pour sa part, la CNIL britannique a assuré qu'elle « examinerait attentivement » les objections faites par la compagnie aérienne et les commentaires des autres autorités européennes concernées avant de prendre sa décision finale.
Pour Nik Whitfield, PDG de l'éditeur d'outils de monitoring IT Panaseer, le montant de l'amende proposée contre British Airways change la donne et constitue une « bonne nouvelle » pour la vie privée des consommateurs.
« L'ampleur de cette pénalité, qui fait qu'elle a une répercussion aussi sur les actionnaires, va permettre aux entreprises mondiales d'investir les sommes substantielles qui sont nécessaires pour s'assurer en permanence que leurs contrôles de sécurité sont adéquats, présents et fonctionnent efficacement ».
« Trop souvent, les brèches et les fuites de données arrivent uniquement parce que les protections les plus fondamentales ne sont pas activées. De nouvelles approches automatisées, comme le monitoring continue [des systèmes], vont devenir des pratiques standards de base, un peu comme les ERP sont devenus la base de la fonction financière ».