British Airways Hack: C’est ainsi que les entreprises ne devraient pas traiter les violations de données

Le chaos semble régner chez British Airways, où des pirates informatiques ont volé les détails d’environ 380 000 réservations de clients. Dans le passé, les cyberattaques de grandes entreprises ont suscité de mauvaises réactions, mais les actions de la compagnie aérienne, dans ce cas, pourraient être l’une des plus faibles de l’histoire récente. Cela s'explique peut-être en partie par le fait que l'UE demande désormais aux entreprises de signaler les cyberattaques dans un délai de 72 heures et que des informations puissent toujours être dissimulées en raison d'enquêtes criminelles en cours.

Après que la société eut eu des problèmes d'alimentation au sein de ses systèmes informatiques en mai 2018, on pourrait penser que BA aurait désormais des plans en place pour réagir aux incidents informatiques de manière plus rapide et cohérente. Pourtant, ce dernier piratage semble montrer un catalogue d'opportunités manquées.

Premièrement, le piratage semble avoir duré plus de deux semaines, affectant les réservations effectuées entre le 21 août et le 5 septembre. Même si cela signifie que tous les clients de BA ne sont pas en danger - uniquement ceux qui ont effectué des réservations au cours de cette période - ce n'est pas encore clair. exactement qui a été affecté négativement et s’il perdra de l’argent en conséquence.

Lorsque le piratage a finalement été découvert, BA n’avait pas initialement fourni suffisamment d’informations cohérentes et robustes sur la portée réelle des données prises. La déclaration principale de la société sur le piratage informatique définissait les données qui n’étaient pas incluses - informations de passeport et de voyage - mais n’indiquait pas qu’il s’agissait de coordonnées bancaires, mais recommandait aux clients de contacter leur banque. Cela semble vouloir tenter de donner un effet positif à une très mauvaise nouvelle et signifie que le vol potentiel de ce qui inquiète le plus les clients - les détails de leur carte - n’a pas été mis en évidence.

La section questions fréquemment posées de la page Web de la déclaration indiquait: "Les noms, adresses et tous les détails de la carte bancaire étaient tous à risque." Mais cela ne donnait pas les détails du piratage, comme si le CVV (valeur de vérification de la carte), les codes de sécurité trouvés au verso des cartes ont été révélés, bien que BA ait ultérieurement communiqué ces informations aux médias. Ne pas révéler si les coordonnées bancaires ont été cryptées ou non, laisse encore trop de questions sans réponse.

Pour plus de sécurité, BA conseille à tous les clients concernés d’annuler leurs cartes. Cela a initialement conduit à des lignes téléphoniques bancaires encrassées en raison du grand nombre de clients touchés. Malheureusement, à l'heure actuelle, on ne sait pas exactement qui a réellement été touché. Plusieurs clients ont déjà signalé des fraudes sur leurs cartes.

Cette réaction a probablement été provoquée par le nouveau règlement général de l’UE sur la protection des données (GDPR), qui stipule que les violations de données de ce type doivent être signalées dans les 72 heures suivant leur découverte.

Le directeur général de BA, Alex Cruz, a déclaré à la BBC que la société avait découvert le piratage mercredi soir et avait contacté tous les clients concernés jeudi soir. «La première chose à faire était de savoir s’il s’agissait d’un problème grave et qui en était affecté. Le moment où les données réelles des clients ont été compromises, c’est le moment où nous avons commencé à communiquer immédiatement avec nos clients », a-t-il déclaré.

Il a ajouté: "Nous sommes déterminés à travailler avec tous les clients qui pourraient avoir été touchés financièrement par cette attaque et nous les indemniserons pour les difficultés financières qu'ils pourraient avoir subies."

Nous devrions être reconnaissants du fait que, grâce au GDPR, l’incident a au moins été rendu public rapidement. Il a fallu trois mois à l'agence d'évaluation du crédit Equifax pour signaler sa violation de données en 2017, période au cours de laquelle les dirigeants ont vendu des actions de la société, bien qu'une enquête interne les ait écartés de toute transaction d'initiés ou inappropriée, affirmant qu'ils n'étaient pas au courant de l'incident lorsqu'ils ont effectué la métiers.

Dido Harding, PDG de la société de télécommunications TalkTalk, a fourni l’un des meilleurs exemples de la non-réponse à une violation de données. Après le piratage de la société en 2015, Harding est apparu à la télévision, suggérant aux clients de faire confiance aux e-mails provenant d'adresses TalkTalk et contenant des liens menant au site Web TalkTalk. Celles-ci sont désormais considérées comme des techniques standard utilisées par les fraudeurs pour convaincre les clients que leurs courriels sont authentiques.

Impact à long terme de la violation de données

L’amende maximale prévue pour une violation de données par une entreprise dans le cadre du GDPR est de 4% du chiffre d’affaires mondial. En 2017, le chiffre d’affaires de BA dépassait les 12 milliards de livres. Par conséquent, si l’entreprise était frappée d’une telle amende, elle pourrait dépasser les 480 millions de livres, bien que l’UE n’ait toujours pas indiqué si le piratage pourrait entraîner une amende. BA a déjà offert une indemnisation aux clients touchés par l’incident, ce qui peut atteindre un montant considérable, d’autant plus que de nombreux clients alertés par BA de l’incident ne se sont pas fait dire si les détails de leur carte avaient été volés.

Comme dans d’autres exemples de violations de données commerciales, le rapport initial a touché le cours de l’action de la société. La valeur de marché de la société mère de BA - International Consolidated Airlines Group - a été réduite de 3,8% au départ. Mais c'est peut-être l'effet sur la confiance du client qui aura le plus de dégâts.

À l'heure actuelle, peu de détails ont été publiés sur la méthode du piratage. Cela peut donc impliquer des méthodes de piratage traditionnelles pour capturer des données d’une base de données. Mais s’il s’agissait de saisir les détails des touches que les utilisateurs appuyaient sur leur clavier, cela remettrait en cause les fondements de notre infrastructure financière numérique.

Si cette bidouille montre une chose, c’est que nous vivons dans un monde numérique extrêmement fragile et que les piratages peuvent rester indétectables pendant un certain temps. Nous devons donc créer des systèmes de transfert financier intégrant le cryptage à chaque étape du processus.

Cet article, écrit par Bill Buchanan de la Cyber ​​Academy, Université Napier d'Édimbourg, a été publié à l'origine sur The Conversation. Lire l'article original.