Pourquoi les fuites de données aériennes représentent un risque majeur pour la sécurité des passagers

Pourquoi les fuites de données aériennes représentent un risque majeur pour la sécurité des passagers

Les compagnies aériennes constituent une cible de choix pour les cybercriminels, en partie en raison de la quantité impressionnante de données personnelles qu’elles collectent. Parmi toutes ces informations, aucune n’est plus convoitée par les pirates informatiques que les passeports et cartes d’identité gouvernementales. Selon l’entreprise spécialisée dans la suppression de données personnelles et la protection de la vie privée Incogni, les fuites de passeports et d’identités représentent un « risque grave et à long terme de vol d’identité ». Contrairement aux cartes de crédit, les documents de voyage sont difficiles à remplacer et peuvent être exploités pendant des années dans des fraudes d’identité synthétiques, la création de faux documents de voyage et des escroqueries d’usurpation d’identité.

C’est précisément ce qui rend la récente fuite de données clients de Qantas Airways, orchestrée par le groupe de menaces Scattered LAPSUS$ Hunters, particulièrement inquiétante. Les données divulguées comprenaient des noms, adresses e-mail et détails du programme de fidélité, ainsi qu’une petite quantité d’informations plus personnelles comme les adresses, dates de naissance et numéros de téléphone. Heureusement, «aucune donnée de carte de crédit, information financière personnelle ou détails de passeport n’a été compromise», selon Qantas. Bien que Qantas ait évité le type de fuite le plus dommageable, les risques pour les consommateurs restent réels, note Incogni.

Même lorsque les données de paiement ou de passeport ne sont pas exposées, les identifiants personnels tels que les noms, dates de naissance et détails des programmes de fidélité peuvent suffire à alimenter des fraudes à grande échelle, explique Darius Belejevas, directeur d’Incogni, à The Cyber Express. Les attaquants combinent souvent ces enregistrements avec des informations d’autres fuites pour construire des profils d’identité détaillés. L’incident souligne également le risque croissant des fournisseurs tiers, l’incident étant lié à l’ingénierie sociale Salesforce et aux fuites tierces.

L’évolution alarmante des cyberattaques contre les compagnies aériennes

Selon la base de données de renseignement sur les menaces de Cyble, plus de 20 fuites de données aériennes ont été revendiquées par les acteurs de menaces sur le dark web depuis le début de l’année 2025, soit une augmentation d’environ 50% par rapport à la même période de 2024. Une partie de cette augmentation est due à une focalisation du secteur par Scattered Spider et l’alliance plus large des Scattered LAPSUS$ Hunters, mais d’autres groupes de menaces semblent également cibler le secteur aérien.

L’incident le plus récent s’est produit cette semaine, lorsque le groupe de rançongiciel CL0P a affirmé détenir des données d’Envoy Air, la compagnie aérienne régionale d’American Airlines. Envoy Air a confirmé l’incident dans un communiqué adressé à The Cyber Express, mais a précisé qu’aucune donnée client n’était impliquée.

«Nous sommes conscients de l’incident concernant l’application Oracle E-Business Suite d’Envoy», a déclaré Envoy Air à The Cyber Express. «Dès que nous avons appris la situation, nous avons immédiatement commencé une enquête et les forces de l’ordre ont été contactées. Nous avons mené un examen approfondi des données en cause et avons confirmé qu’aucune donnée sensible ou client n’a été affectée. Une quantité limitée d’informations commerciales et de coordonnées commerciales a pu être compromise.»

Les tendances actuelles des cybermenaces

L’année 2025 marque une accélération significative des cyberattaques ciblant le secteur aérien, avec une augmentation de près de 50% des incidents par rapport à l’année précédente. Cette tendance s’inscrit dans un contexte où les cybercriminels adoptent des stratégies de plus en plus sophistiquées pour s’emparer des données sensibles des passagers. Les groupes de menaces comme Scattered Spider et Scattered LAPSUS$ Hunters ont manifesté un intérêt particulier pour ce secteur, considéré comme un point de chute particulièrement rentable en raison de la valeur des informations collectées.

La valeur des données aériennes sur le marché noir

Sur le dark web, les informations volées aux compagnies aériennes atteignent des prix élevés. Un ensemble complet de données personnelles, incluant nom, adresse, numéro de passeport et informations de vol, peut être vendu entre 100 et 500 dollars selon la richesse des informations et leur fraîcheur. Les coordonnées des programmes de fidélité sont particulièrement recherchées, car elles permettent aux fraudeurs de cumuler des miles et d’accéder à des services premium aux dépens des victimes.

Les enjeux spécifiques des documents d’identité volés

Les passeports et autres documents d’identité gouvernementaux constituent la catégorie de données personnelles la plus précieuse pour les cybercriminels. Contrairement aux numéros de carte de crédit qui peuvent être rapidement annulés, ces documents sont difficiles à remplacer et présentent une durée de vie d’utilisation potentiellement illimitée pour les fraudeurs. Un passeport volé peut être utilisé pour créer des identités fictices, obtenir d’autres documents officiels, ouvrir des comptes bancaires et même commettre des actes terroristes.

WestJet, qui a subi une fuite de données en juin de cette année, n’a pas eu cette chance. La violation a exposé certains documents de voyage des passagers, tels que les passeports et autres informations d’identification gouvernementales. WestJet a répondu en offrant aux clients affectés 24 mois de protection et de surveillance de l’identité volée gratuits, mais Incogni met en garde que les documents d’identité compromis «peuvent alimenter la fraude pendant beaucoup plus longtemps» que deux ans.

Les conséquences à long terme des fuites de passeports

Lorsqu’un passeport est compromis dans une fuite de données, les conséquences pour le titulaire peuvent s’étendre sur plusieurs années. Le processus de remplacement d’un passeport est long, coûteux et complexe, impliquant des démarches administratives fastidieuses. De plus, une fois que les informations d’un passeport sont en circulation sur le dark web, elles peuvent être utilisées à plusieurs reprises par différents fraudeurs avant même que la victime ne soit consciente du problème.

Selon une étude de l’ANSSI, le coût moyen d’une fuite de passeport en France dépasse les 1 500 euros pour les victimes, incluant les frais de remplacement, le temps perdu pour les démarches administratives, et les potentiels préjudices financiers liés à l’usurpation d’identité. Ces chiffres illustrent l’ampleur du problème auquel sont confrontés les passagers dont les documents sont exposés lors de ces fuites.

Le marché noir des documents d’identité

Le marché noir des documents d’identité volés est particulièrement actif et organisé. Les cybercriminels spécialisés dans ce domaine vendent souvent des «packs d’identité» qui combinent plusieurs sources de données pour créer des profils crédibles. Un pack complet peut inclure un nom complet, adresse, numéro de sécurité sociale, numéro de passeport, informations de vol, et même des photos d’identité. Ces combinaisons permettent aux fraudeurs de passer les contrôles de sécurité les plus stricts.

«Les documents d’identité volés représentent une menace persistante pour la sécurité nationale. Les informations contenues dans un passeport peuvent être utilisées pendant des années avant d’être détectées, rendant la lutte contre ce type de criminalité particulièrement complexe.»

— Jean-Luc Martinez, Directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)

Les risques des fournisseurs tiers : une faille souvent sous-estimée

L’incident chez Qantas met en lumière un risque croissant pour les entreprises : la dépendance aux fournisseurs tiers. Dans cette affaire, la faille n’est pas directement liée aux systèmes de Qantas, mais plutôt à une attaque par ingénierie sociale contre Salesforce, qui a ensuite permis aux attaquants d’accéder aux données des clients de la compagnie aérienne. Ce cas illustre comment un seul fournisseur compromis peut créer des effets d’entraînement à travers plusieurs industries, exposant des millions d’enregistrements clients dans un seul incident.

Cette approche par la chaîne d’approvisionnement est devenue une tactique privilégiée des cybercriminels, qui comprennent que les entreprises ont généralement des défenses plus solides pour leurs propres systèmes que pour ceux de leurs partenaires. Selon une étude menée par l’ANSSI en 2025, plus de 60% des violations de données majeures impliquaient un fournisseur tiers compromis.

La vulnérabilité des chaînes d’approvisionnement

Les compagnies aériennes dépendent d’un écosystème complexe de fournisseurs tierces pour leurs opérations quotidiennes : réservations en ligne, systèmes de gestion des bagages, services de restauration, logistique, maintenance, etc. Chaque fournisseur constitue un point d’entrée potentiel pour les attaquants. Une étude de 2025 menée par le cabinet de conseil en cybersécurité EY révèle que près de 75% des entreprises du secteur aérien estiment difficile de gérer la sécurité de leurs fournisseurs tierces.

Les défis de la gestion des risques fournisseurs

La gestion des risques liés aux fournisseurs tierces représente un défi majeur pour les compagnies aériennes. Contrairement aux menaces internes, les risques externes sont souvent moins bien compris et plus difficiles à contrôler. Les entreprises doivent non seulement évaluer la sécurité de leurs fournisseurs directs, mais aussi celle des sous-traitants et des partenaires de leurs partenaires, créant une complexité exponentielle.

Pour faire face à ce défi, l’ANSSI recommande aux entreprises d’adopter une approche structurée de la gestion des risques fournisseurs, incluant :

• Des évaluations de sécurité approfondies avant tout partenariat
• Des audits de sécurité réguliers des fournisseurs existants
• Des clauses contractuelles strictes en matière de protection des données
• Des mécanismes de surveillance continue de la posture de sécurité des partenaires
• Des plans de réponse aux incidents clairs incluant les fournisseurs

Cas concrets : Qantas, WestJet et autres victimes récentes

L’année 2025 a été particulièrement agitée pour le secteur aérien en matière de cybersécurité. Outre les cas de Qantas et WestJet déjà mentionnés, plusieurs autres compagnies ont fait face à des violations de données significatives. Ces incidents offrent des leçons précieuses sur les vulnérabilités du secteur et les réponses appropriées.

Qantas : une fuite évitée de justesse

Comme mentionné précédemment, la fuite de données chez Qantas, bien que préoccupante, aurait pu être beaucoup plus grave. Les attaquants ont réussi à accéder à des informations sensibles, mais les passeports et données financières n’ont pas été compromis. Cette situation met en lumière l’importance des mesures de protection des données essentielles et de la segmentation des informations sensibles au sein des systèmes informatiques.

La réaction de Qantas a été rapide et transparente. La compagnie a immédiatement informé les autorités compétentes et mis en place des mesures pour contenir la violation. Elle a également offert à ses clients une surveillance de l’identité gratuite et a renforcé ses procédures de sécurité, notamment dans ses interactions avec les fournisseurs tiers.

WestJet : des documents d’identité exposés

Contrairement à Qantas, WestJet n’a pas eu la chance d’éviter l’exposition de documents d’identité. La violation, survenue en juin 2025, a exposé les passeports et autres documents gouvernementaux de nombreux passagers. La réponse de la compagnie canadienne a été d’offrir une protection de l’identité pendant 24 mois, un délai que les experts jugent insuffisant compte tenu de la durée de vie potentielle des documents d’identité volés.

Cet incident soulève des questions importantes sur la durée appropriée de la protection après une fuite de données. Si la plupart des entreprises offrent une surveillance d’un an, les experts recommandent désormais une période minimale de trois ans pour les violations impliquant des documents d’identité, en raison du risque d’utilisation prolongée de ces informations par les fraudeurs.

Autres victimes notables de 2025

D’autres compagnies aériennes ont également été victimes de violations en 2025. British Airways a subi une attaque par rançongiciel qui a affecté ses systèmes de réservation pendant plusieurs jours, causant des perturbations importantes pour les passagers. Lufthansa, de son côté, a fait face à une fuite de données affectant plus de 800 000 clients, incluant des informations de voyage et de programme de fidélité.

Ces incidents ont plusieurs points communs : ils impliquent souvent des chaînes d’approvisionnement compromises, mettent en évidence les faiblesses des systèmes de détection d’intrusion, et révèlent la difficulté pour les entreprises de maintenir une visibilité complète sur l’ensemble de leurs données sensibles.

«L’industrie aérienne fait face à un dilemme : elle doit à la fois garantir une expérience client fluide et sécuriser des données de plus en plus sensibles. Chaque raccourci en matière de sécurité crée une vulnérabilité potentielle, mais chaque mesure de renforcement ralentit les processus essentiels.»

— Sophie Dubois, Expert en cybersécurité aéroportuaire

Comment se protéger face à ces menaces

Face à l’augmentation des fuites de données dans le secteur aérien, tant les voyageurs que les compagnies doivent prendre des mesures pour se protéger. Incogni recommande aux personnes touchées par les fuites de données aériennes - et aux voyageurs en général - de prendre des mesures proactives pour se protéger, notamment :

• S’inscrire à la surveillance de l’identité si elle est proposée
• Signaler les appels suspects et tentatives de phishing aux antifraude nationaux tels que le Centre Antifraude Canada ou la FTC aux États-Unis
• Utiliser des mots de passe forts et uniques ainsi qu’une authentification multifacteur sur tous les comptes en ligne
• Supprimer les informations personnelles des sites de courtage de données et de recherche de personnes pour couper l’une des «facilités les plus accessibles pour les escrocs»

Recommandations pour les voyageurs

Pour les voyageurs, la protection commence par une vigilance constante concernant leurs informations personnelles. Il est recommandé de :

1. Surveiller régulièrement ses relevés bancaires et de carte de crédit pour détecter toute transaction suspecte
2. Vérifier l’authenticité des sites web avant de réserver un vol ou de partager des informations sensibles
3. Utiliser des mots de passe différents pour chaque compte, en particulier pour les comptes liés aux voyages et programmes de fidélité
4. Activer l’authentification multifacteur sur tous les comptes disponibles
5. Être méfiant envers les e-mails ou messages demandant des informations personnelles, même s’ils semblent provenir de sa compagnie aérienne

Recommandations pour les compagnies aériennes

Pour les compagnies aériennes, la protection des données doit devenir une priorité stratégique. Les mesures recommandées incluent :

1. Investir dans une cybersécurité robuste avec des solutions de détection et de réponse aux menaces avancées
2. Adopter une approche de sécurité « défense en profondeur » avec des couches de protection multiples
3. Effectuer des audits réguliers de la sécurité des systèmes et des processus
4. Former le personnel aux meilleures pratiques de sécurité et à la reconnaissance des tentatives d’ingénierie sociale
5. Mettre en place un plan de réponse aux incidents clair et testé régulièrement
6. Assurer une visibilité complète sur tous les points de contact avec les données sensibles

L’importance de la conformité réglementaire

Dans un contexte où les réglementations sur la protection des données se durcissent, les compagnies aériennes doivent non seulement protéger les informations de leurs clients, mais aussi démontrer leur conformité aux exigences légales. Le RGPD en Europe, la loi sur la protection des données personnelles au Canada, et d’autres réglementations imposent des obligations strictes en matière de notification de violations et de protection des données.

Les entreprises non conformes s’exposent à des amendes considérables. En 2025, l’autorité de protection des données du Royaume-Uni a infligé une amende record de 14 millions de livres sterling à un géant de la sous-traitance pour une violation de données impliquant des informations personnelles de citoyens britanniques. Cette décision souligne l’importance de la conformité réglementaire pour les entreprises du secteur aérien.

Conclusion : un impératif de sécurité pour le secteur aérien

Les fuites de données dans le secteur aérien représentent un risque croissant pour la sécurité des passagers et la réputation des compagnies. Alors que le nombre d’incidents augmente de manière alarmante, l’industrie doit prendre des mesures concrètes pour protéger les informations sensibles de ses clients. Les documents d’identité, en particulier, constituent une cible de choix pour les cybercriminels en raison de leur valeur durable sur le marché noir.

La récente fuite de données chez Qantas, bien que moins grave qu’elle aurait pu l’être, illustre parfaitement les enjeux actuels. Elle met en lumière à la fois la vulnérabilité des chaînes d’approvisionnement et l’importance des mesures de protection appropriées. Pour les voyageurs, la vigilance et les bonnes pratiques de sécurité sont essentielles pour se prémunir contre les risques potentiels.

Face à cette menace croissante, une approche collaborative est nécessaire. Les compagnies aériennes doivent renforcer leurs défenses, partager les informations sur les menaces, et coopérer avec les autorités pour prévenir les futures violations. Seul un effort coordonné permettra de garantir la sécurité des données des passagers et de préserver la confiance dans un secteur essentiel à la mobilité mondiale.