Piratage de Transavia : fuite de données massive

Posted On 18 Fév 2022

Tag: exfiltration de données, piratage, Transavia

Des pirates informatiques trouvent le moyen d’extraire des données privées et personnelles d’un espace numérique de la compagnie aérienne Transavia, une filiale d’Air France.

CV, lettre de motivation, passeport, documents médicaux, Certificat de membre d’équipage émis par la Direction Générale de l’Aviation Civile (DGAC), etc. Voilà quelques exemples de données exfiltrées par des pirates informatiques via un serveur de la compagnie aérienne Transavia.

Cette filiale du groupe Air France / KLM a confirmé cette intrusion et le vol de données. ZATAZ peut affirmer de son côté une fuite massive d’informations appartenant aux employés de l’entreprise. « Tous les documents qui nous ont été demandés lors de notre embauche étaient stockés sur un serveur de fichiers et que celui-ci était facilement accessible. Ce sont donc les données personnelles de centaines de personnes qui ont fuitées. » indique un employé à ZATAZ.

Comment les employés ont été informés de ce piratage ? Les pirates ont envoyé un courriel aux salariés de Transavia le 15 février 2022. « Vous trouverez en photo sur ce mail, une liste non exhaustive des utilisateurs concernés par cette fuite. » indiquent les pirates dans leur missive à destination des employés. Ces derniers reprochent à la compagnie un problème de cybersécurité bien plus grave qu’indiqué dans leur communiqué « Dans cette fuite de données, nous avons obtenu d’innombrables documents sur tous les employés de Transavia […] Nous sommes obligés de contacter chaque employé concerné par cette fuite de données« .

La motivation des pirates ressemble à ce que ferait un lanceur d’alerte. Avertir d’un comportement informatique mettant en danger les personnes concernées par ce mauvais comportement. « Vos documents privés ont été divulgués, mais n’oublions pas que nous ne sommes pas des ordures. Vos données privées resteront privées, et nous ne les divulguerons ni ne les vendrons. » écrivent les pirates. « Toutes les données en notre possession ont été supprimées afin de rassurer les personnes concernées par cette fuite » expliquent les pirates à ZATAZ.

Au moins, les employés peuvent être rassurés. Espérons que d’autres pirates, avant cette divulgation, ne soient pas passés par là avec des intentions beaucoup moins « sympathiques« . Les pirates, contactés par mes soins m’ont fait part qu’ils n’étaient pas français.

D’autant plus que dans les documents copiés par les pirates, se trouvent des informations sensibles tels que le « Registre D« , il s’agit de l’inscription aux registres du personnel navigant professionnel ou encore les résultats des tests de sécurité et de sureté pour valider les embauches.

En novembre 2021, la filiale Transavia Hollande s’était vue infliger une amende de 400 000 € par la CNIL néerlandaise pour des manquements graves quand à la sécurité des données liées aux passagers. Pour le cas français, ZATAZ a eu connaissance de plaintes auprès de la CNIL.

Les pirates risquent jusqu’à 3 ans de prison et plusieurs dizaines de milliers d’euros d’amende.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.