Les conséquences d’une attaque cyber contre la compagnie aérienne Cathay Pacific

Les conséquences d’une attaque cyber contre la compagnie aérienne Cathay Pacific

 

Cathay Pacific est la plus grande compagnie aérienne hongkongaise. Cotée à la bourse de Hong Kong, elle est également reconnue comme l’une des meilleures compagnies aériennes du monde selon le classement Skytrax qui lui attribue 5 étoiles. Skytrax est une organisation internationale basée à Londres experte dans l’industrie du transport aérien dont l’une des missions consiste à établir divers classements touchant les compagnies aériennes selon un système de notation défini.

Le 24 octobre 2018, Cathay Pacific révèle publiquement avoir subi une « fuite » de données massives pouvant impacter jusque 9,4 millions de clients. Fuite, piratage informatique ou encore attaque informationnelle, cet évènement est aujourd’hui considéré comme l’une des plus grandes violations de données de compagnie aérienne au monde. La taille de la cible ne constitue pas le seul élément alimentant la polémique. En effet, la compagnie aérienne a pris l’initiative d’attendre 7 mois avant de dévoiler les activités suspectes qu’elle avait détecté sur son réseau informatique lors d’un contrôle de sécurité de routine effectué au mois de mars. Ces doutes ont été confirmés en mai à la suite d’un audit commandé par Cathay Pacific.

 

Une communication de crise inefficace

Noms, nationalités, dates de naissance, numéros de téléphone, emails, adresses, 860 000 numéros de passeport, numéros de carte d’identité dont près de 245 000 cartes appartenant à des hongkongais, numéros de carte de fidélité, remarques faites au service clients, historiques des informations de voyage, 403 numéros de cartes de crédit expirées et 27 cartes de crédit sans cryptogramme, voici la liste dressée par la compagnie le 24 octobre dernier décrivant les données dont l’accès a été compromis. A travers cette illusion de transparence affichée par la compagnie vis-à-vis de ses clients, c’est une toute autre réalité comportant de multiples zones d’ombre qui se dessine au-devant de la scène publique.

Tout d’abord, le nombre exact de clients victimes de cette violation de données personnelles demeure inconnu sachant que 9,4 millions de clients sont enregistrés dans leur base de données, ce qui constitue un important vivier de victimes potentielles. De plus, la compagnie a déclaré que « le détail des données rendues accessibles varie pour chaque passager » et « qu’aucun compte particulier ou programme de fidélité n’a pu être consulté dans sa totalité ». Face à ces différentes annonces, le client ignore toujours si ses données les plus sensibles appartiennent à la partie compromise ou à la partie non consultée, si la partie non consultée bénéficiait d’un niveau de protection supérieur obturant son accès ou si cette partie n’a pas été consultée volontairement par les pirates informatiques à cause de son faible niveau d’intérêt stratégique. Les données d’identité sont hautement sensibles puisqu’elles peuvent être utilisées n’importe où dans le monde pour la création de faux papiers par exemple, l’ouverture de compte bancaire, des demandes de crédits ou même des mariages blancs au nom de la victime dont l’identité a été usurpée.

Le flou s’agrandit lorsque Cathay Pacific précise ne pas détenir de « preuve que des données personnelles aient été détournées ». Mais la compagnie est-elle en mesure de confirmer que ces mêmes données ne seront jamais utilisées à l’insu ou contre ses clients par la personne ou le groupe d’individus à l’origine de cette attaque informatique ?  Comment la compagnie peut-elle garantir que les données qu’elle n’a pas su protéger et qui sont aujourd’hui entre les mains de personnes non identifiées ne feront pas l’objet d’actions malveillantes à court, moyen ou long terme ?  A travers cette affirmation, la compagnie espérait sans doute pouvoir rassurer le client mais l’analyse des différentes briques du discours soulève l’effet inverse et tend vers une inquiétude collective nuisible à sa bonne réputation.

 

Les effets indirects d’une double pression géoéconomique et concurrentielle

Cathay Pacific est membre fondateur de l’alliance oneworld qui regroupe 13 compagnies aériennes connectant un réseau de plus de 1000 destinations à travers 158 pays. La compagnie hongkongaise déploie une stratégie partenariale poussée notamment par le biais d’un accord de partages de codes conclus avec la Lufthansa en mars 2017, grand groupe appartenant à l’alliance rivale Star Alliance. Cet accord intervient pourtant 10 jours après la décision prise par la commission européenne infligeant des amendes d’un montant considérable à 11 transporteurs de fret aérien accusé d’avoir mis en place une entente fixant le niveau de surtaxes sur le carburant et la sécurité de 1999 à 2006. La commission européenne a jugé ces pratiques comme étant anticoncurrentielles. Une amende de 57 120 000€ a par conséquent été attribuée à Cathay Pacific tandis que l’immunité a été accordée à la Lufthansa. Cette dernière étant à l’origine de la procédure puisque l’enquête a été ouverte à la suite du dépôt de sa demande d’immunité en 2005. Ce rapprochement dans la sphère géoéconomique permet à la compagnie phare de Hong Kong de faire face au nouveau contexte concurrentiel international marqué par l’émergence des compagnies du Golfe qui étendent leurs activités en Asie, mais aussi par la compétitivité des compagnies aériennes de la Chine continentale. Hainan Airlines, China Southern et Air China qui affiche des tarifs jusqu’à 65% inférieurs à ceux de Cathay Pacific, favorisent la montée en puissance de la Chine en tant que futur leader du marché aérien mondial vers 2022.

2018 est une année de développement de plusieurs projets visant à améliorer la santé économique de la compagnie. Un nouveau salon nommé « The Deck » a été inauguré à Hong Kong en mars, le déploiement du wifi a débuté et se poursuit jusqu’en 2020, l’accès à internet étant un important argument commercial, 10 nouvelles destinations ont été reliées à Hong Kong, les premiers A350-1000 commandés en 2012 ont également été livrés. Toutes ces initiatives visent à affronter les difficultés économiques face auxquelles se heurte la compagnie aérienne depuis quelques années. Une perte de 130 millions d’euros a été enregistrée en 2017. L’un des arguments avancés par la direction au sujet des 7 mois écoulés après la détection d’un accès non autorisé était d’éviter un mouvement de panique jugé non nécessaire. Les erreurs commises par la direction se sont cumulées à partir du moment où elle a probablement sous-estimé l’urgence de la situation. Elle a souhaité traiter l’affaire en interne en faisant appel à des consultants sans rendre compte à ses clients, à ses investisseurs, ni même aux autorités.

Selon les analyses de la bourse, la situation de Cathay Pacific est plutôt dégradée. Au lendemain de l’annonce sur la fuite de données massives, une perte en séance de 6,50% a été relevée, c’est la première fois en 9 ans qu’un niveau si bas est atteint. Le titre a été clôturé sur une baisse de 3,77% le jeudi 25 octobre 2018.

 

Les failles législatives de Hong Kong sur la violation des données

Charles Mok, un membre du conseil législatif de Hong Kong, pointe ouvertement du doigt, notamment sur un site dédié aux membres du gouvernement publiquement accessible, l’obsolescence des lois de la région administrative spéciale en ce qui concerne la protection des données personnelles dans le cyberespace. L’affaire Cathay Pacific a permis de soulever un vide juridique considérable peu de temps après la mise en place de la réglementation européenne sur la protection des données dit RGPD (Règlement général sur la protection des données). En effet, contrairement au RGPD qui exige qu’un incident remettant en cause la protection des données privées soit déclaré dans les 72 heures, les lois hongkongaises ne présentent aucune obligation légale de signaler une violation de données dans des délais éthiquement acceptables. La coopération des entreprises est établie sur la base du volontariat.

Un cabinet d’avocats britannique nommée SPG Law collaborant avec des avocats américains et détenant une forte influence internationale s’est emparé du dossier en s’appuyant sur l’article 82 du RGPD sur le droit à réparation et responsabilité. Cathay Pacific se trouve ainsi face à une première action en justice collective pour le motif reposant sur la violation de données. Plus de 200 clients se sont aujourd’hui manifestés à travers la plateforme de réclamations dédiée mise en place par le cabinet – https://cathaydatabreach.com/. Selon les avocats de SPG Law, les sommes pouvant être réclamées peuvent s’élever à plus de 1600€ par personne, voire davantage en fonction des cas particuliers.

Les échos engendrés par cette affaire qui raisonne à l’échelle internationale obligent Hong Kong à prendre des mesures exemplaires afin de rendre à l’ex-colonie britannique son image de marque d’une part, et de dissuader les plus petites entreprises locales à commettre des négligences similaires en termes de sécurité informatique d’autre part. Les décisions prises à l’encontre d’un géant du transport aérien impacteront indirectement les autres sociétés, la maîtrise de l’information ne devant plus être une option stratégique mais une priorité.

Laura Klans