À 1h41 du matin, un e-mail est arrivé sur mon compte, avec un expéditeur et un sujet qui, dans d'autres circonstances, m'auraient rendu nerveux : il venait d'Iberia et le sujet était 'Avis important concernant les données personnelles'. Lorsque je l'ai rencontré ce matin, j'ai eu des sentiments mitigés et une phrase est sortie de mes lèvres que je ne dis pas habituellement lorsque je prends son avion : Il est temps.
Car la principale compagnie aérienne de l'État espagnol, qui se vante habituellement de l'efficacité de son engagement en matière de ponctualité, est arrivée très tard à informer ses clients d'un vol d'informations personnelles via une cyberattaque. Heureusement pour moi, j'avais déjà changé mon mot de passe dès que le lapin a sauté… le 14 novembre.
Iberia a commencé à informer ses clients 8 jours plus tard
Ce jour-là, le Daily Dark Web a prévenu de l'attaque pour la vente ultérieure de 77 Go d'informations privées sur le Dark Web. Les médias ont précisé que les données extraites des serveurs internes de la compagnie aérienne étaient essentiellement des informations techniques très précieuses comprenant des programmes de maintenance confidentiels des avions, ainsi que des dossiers de maintenance, des diagrammes et des inspections techniques, le certificat de l'exploitant aérien, des signatures numériques internes ou des sauvegardes de bases de données du système. Dans Escudo Digital, le prix fixé pour le sauvetage a également été révélé : 150 000 dollars.
Le 25 novembre, le groupe de ransomware Everest a revendiqué la fuite de données d'Iberia, affirmant avoir exfiltré 596 Go de données internes de l'entreprise et demandant une rançon de six millions de dollars pour empêcher la fuite, comme le rapportait le lendemain le Daily Dark Web.
De même, dans la revendication de la responsabilité de l'attaque, ils ont expliqué que les informations volées n'étaient pas seulement techniques, mais qu'il s'agissait également de données personnelles des clients d'Iberia telles que le nom complet des passagers, les adresses e-mail et les numéros de téléphone, les détails du programme de fidélisation, les numéros de réservation, les besoins et préférences spéciaux, ainsi que les enregistrements internes des réservations et des transactions.
Onze jours se sont écoulés entre la première nouvelle de l'attaque et la confirmation d'Everest, mais il a fallu une semaine à Iberia pour informer ses clients : les premiers messages ont commencé à être vus sur les réseaux le 22 novembre et le serveur les a déjà reçus aujourd'hui, le 29 novembre.
Dans l'e-mail reçu, Iberia admet 'oun incident de sécurité lié à un accès non autorisé aux systèmes d'un fournisseur d'Iberia, qui a compromis la confidentialité de certaines données.' Quelles données ? Selon la compagnie aérienne, le nom et le prénom ; e-mail; ou numéro d'identification de la carte de fidélité (Iberia Club).
Iberia communique également que 'En aucun cas vos données d'accès aux comptes Iberia ou vos mots de passe n'ont été compromis ils n'ont pas non plus pu accéder à toutes les informations de leur carte bancaire qui ne sont donc pas utilisables.' Cependant, la première mesure à prendre en tant que client doit être de changer le mot de passe pour un nouveau et plus robuste et de prendre des précautions extrêmes contre tout mouvement étrange sur les comptes bancaires et lors de la réception de messages par e-mail ou par téléphone portable. Le mot clé est : total.
Car même si selon Iberia, après avoir pris connaissance de l'incident, ils ont activé leurs protocoles de sécurité, ils enquêtent sur l'incident pour l'atténuer afin qu'il ne se reproduise plus et ils ne se rendent pas compte qu'une quelconque utilisation frauduleuse de ces données s'est matérialisée, il vaut mieux être vigilant contre toute action suspecte, comme un message frauduleux se faisant passer pour Iberia pour obtenir plus de données. La compagnie aérienne a fourni son numéro d'assistance en cas de soupçon : +34 900111500.
L'envoi d'un relevé informant vos clients fait partie du protocole d'action contre les cyberattaques et est obligatoire conformément à la législation en vigueur. Bien entendu, l'avis arrive avec au moins 8 jours de retard et se concentre également sur la partie du vol qui concerne les clients, ce qui laisse quelques inconnues.
Ainsi, les premiers détails connus du vol détaillaient l'accès non autorisé à des informations techniques et à un volume de données, alors que plus tard, le volume serait plus important et affecterait les informations des clients, comme l'a rapporté plus tard Iberia. Cependant, la compagnie aérienne n'a aucune obligation d'informer l'utilisateur final du vol d'informations techniques confidentielles.
Quoi qu’il en soit, nous espérons qu’Iberia a agi avec diligence et plus rapidement que lors de sa communication avec ses clients. Se conformer à la loi, c'est bien tant que vous faites ce qu'il faut, mais si vous les informez également le plus tôt possible, vous permettez à vos clients d'agir le plus tôt possible ou même de minimiser le risque qu'ils soient mordus par d'éventuels cas d'usurpation d'identité.
Concernant l'accès non autorisé, Iberia explique elle-même qu'il s'est produit via un fournisseur, normalement le maillon le plus faible de la chaîne. Dans tous les cas et avec la réglementation en main, c'est Iberia qui est le premier responsable.
Couverture | Capture d'écran de Gmail, Iberia
