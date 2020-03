LONDRES – Le bureau du commissaire à l’information du Royaume-Uni (ICO) a annoncé mercredi une amende de 500 000 £ (636 000 $) pour la compagnie aérienne internationale Cathay Pacific. Il s’agissait d’une violation de données survenue entre octobre 2014 et mai 2018, touchant 9,4 millions d’utilisateurs.

Cathay Pacific reçoit une amende maximale avant le RGPD

L’ICO a conclu que les systèmes de Cathay Pacific avaient été violés en raison de «négligence», avec des logiciels malveillants utilisés pour collecter diverses données personnelles. Cela comprenait: les noms, les détails du passeport et de l’identité, les dates de naissance, les adresses postale et électronique, les numéros de téléphone et les informations de voyage historiques. L’enquête a révélé qu’un certain nombre d’erreurs énormes avaient été commises, notamment la non-protection des fichiers de sauvegarde avec des mots de passe, la non-correction des serveurs accessibles sur Internet, la poursuite de l’utilisation de systèmes d’exploitation qui n’étaient plus pris en charge par le développeur et le manque d’anti protection antivirus en place.

Steve Eckersley, directeur des enquêtes de l’OIC, a déclaré:

Cette violation était particulièrement préoccupante compte tenu du nombre d’insuffisances de sécurité de base dans le système de Cathay Pacific, qui permettait un accès facile aux pirates. Les multiples déficiences graves que nous avons constatées sont bien inférieures à la norme attendue. À la base, la compagnie aérienne n’a pas satisfait quatre des cinq directives de base du Cyber ​​Essentials du National Cyber ​​Security Center.

Malgré cela, l’ICO a accepté que Cathay Pacific «agisse rapidement et sans détour» après avoir pris connaissance d’une attaque par force brute en mars 2018. Elle a embauché une entreprise de cybersécurité et en a informé l’ICO. En outre, la compagnie aérienne «est allée au-delà de ses obligations légales» en informant les victimes et en coopérant à l’enquête.

L’incident étant survenu avant l’introduction du RGPD, l’OIC a enquêté sur celui-ci en vertu d’une ancienne législation. L’amende de 500 000 £ était aussi importante qu’elle pouvait l’être en vertu de ces lois.