La compagnie aérienne easyJet a publié ce lundi un avis d’incident de cybersécurité auprès du London Stock Exchange.
Elle a été la cible d’une attaque d’une source « hautement sophistiquée ».
D’après son enquête, les données de voyage et l’adresse de messagerie de plus de 9 millions de clients ont été dérobées.
Pire, les pirates ont eu accès aux données de cartes de paiement de 2 208 clients malchanceux.
L’entreprise aurait fermé l’accès illégal, prévenu les victimes, entrepris des mesures immédiates pour répondre à l’incident et le gérer, et engagé des experts légistes pour enquêter.
Depuis le début avril, des tweets mentionnant un possible incident de piratage ont régulièrement été publiés.
Dans ces conditions, on peut se demander si easyJet a informé les autorités immédiatement du piratage, une obligation du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne.
L’Information Commissionner’s Office (ICO), l’équivalent britannique de la CNIL, a reconnu être tenue au courant de l’enquête, mais a refusé de répondre aux questions pour savoir quand easyJet l’a informée.
Or l’ICO a pris la liberté de refuser de répondre aux questions sur la protection des données, une obligation émanant des lois sur la liberté de l’information, durant la pandémie COVID-19.
La brèche de sécurité arrive au plus mauvais moment pour la compagnie aérienne, qui, comme la plupart, a cessé ses vols en avril.
Qui plus est, son fondateur et actionnaire minoritaire Stelios Haji-Ioannou, en guerre ouverte depuis plusieurs mois avec le conseil d’administration, veut forcer ce dernier, traité de fripouille, à annuler une commande de 107 avions auprès d’Airbus pour 4,5 milliards de livres – 5 milliards d’euros.
Il est même allé jusqu’à offrir 5,6 millions d’euros à tout lanceur d’alertes pouvant prouver toute corruption liée à la commande.