Pourquoi les fuites de données dans l'aviation sont si critiques - et pourquoi le cas Qantas aurait pu être bien pire

Pourquoi les fuites de données dans l’aviation sont si critiques - et pourquoi le cas Qantas aurait pu être bien pire

Les compagnies aériennes représentent une cible privilégiée pour les pirates informatiques, en partie en raison de la quantité massive de données personnelles qu’elles collectent. Parmi toutes ces informations, aucune n’est plus convoitée par les cybercriminels que les passeports et les cartes d’identité gouvernementales.

Selon la société Incogni, spécialisée dans la suppression de données personnelles et la protection de la vie privée, les fuites de passeports et d’identités posent un « risque sévère et à long terme de vol d’identité ». Contrairement aux cartes de crédit, les documents de voyage sont difficiles à remplacer et peuvent être exploités pendant des années dans le cadre de fraudes d’identité synthétique, de faux documents de voyage et d’arnques d’usurpation d’identité.

C’est précisément pour cette raison que la fuite de données clients de la compagnie Qantas Airways révélée cette semaine par le groupe de menaces Scattered LAPSUS$ Hunters aurait pu avoir des conséquences bien plus graves. Les données divulguées comprenaient des noms, des adresses e-mail et des détails sur le programme de fidélité Frequent Flyer, ainsi qu’une petite quantité de données plus personnelles telles que des adresses, des dates de naissance et des numéros de téléphone. Cependant, « aucun détail de carte de crédit, d’informations financières personnelles ou de passeport n’a été compromis », selon le communiqué de Qantas.

Bien que Qantas ait évité le type de fuite le plus dommageable, les consommateurs restent tout de même exposés à des risques, souligne Incogni. « Même lorsque les données de paiement ou de passeport ne sont pas exposées, les identifiants personnels tels que les noms, les dates de naissance et les détails des programmes de fidélité peuvent être suffisants pour mener des fraudes à grande échelle », explique Darius Belejevas, responsable d’Incogni, à The Cyber Express. « Les attaquants combinent souvent ces enregistrements avec des informations provenant d’autres fuites pour construire des profils d’identité détaillés. »

Cet incident met également en lumière le risque croissant lié aux fournisseurs tiers, l’incident étant lié à une ingénierie sociale Salesforce et à des fuites tierces. « Le cas Qantas montre comment un seul fournisseur compromis peut avoir des répercussions transversales dans plusieurs secteurs, exposant des millions d’enregistrements clients au cours d’un seul incident », ajoute Belejevas.

L’augmentation alarmante des fuites de données dans l’aviation

Selon la base de données de renseignements sur les menaces de Cyble, plus de 20 fuites de données dans le secteur aérien ont été revendiquées par des acteurs de menaces sur le dark web depuis le début de l’année 2025, soit une augmentation d’environ 50 % par rapport à la même période en 2024. Une partie de cette augmentation est due à une focalisation du groupe Scattered Spider et de l’alliance plus large Scattered LAPSUS$ Hunters sur ce secteur, mais d’autres groupes de menaces semblent également cibler l’industrie aérienne.

Le plus récent incident s’est produit cette semaine, lorsque le groupe de rançongiciel CL0P a affirmé détenir des données d’Envoy Air, une filiale régionale d’American Airlines.

Envoy Air a confirmé l’incident dans un communiqué adressé à The Cyber Express, mais a précisé qu’aucune donnée client n’était impliquée. « Nous sommes au courant de l’incident concernant l’application Oracle E-Business Suite d’Envoy », a déclaré Envoy Air à The Cyber Express. « Dès que nous avons eu connaissance du problème, nous avons immédiatement lancé une enquête et avons contacté les forces de l’ordre. Nous avons mené un examen approfondi des données en cause et avons confirmé qu’aucune donnée sensible ou client n’a été affectée. Une quantité limitée d’informations commerciales et de coordonnées commerciales a pu être compromise. »

WestJet, qui a subi une fuite de données en juin de cette année, n’a pas été aussi chanceux, car la violation a exposé certains documents de voyage des passagers tels que des passeports et autres informations d’identification émises par le gouvernement. WestJet a réagi en offrant aux clients concernés 24 mois de protection et de surveillance de l’identité volée gratuits, mais Incogni met en garde que les documents d’identité compromis « peuvent alimenter la fraude pendant bien plus longtemps » que deux ans.

Les conséquences spécifiques des fuites de données dans l’aviation

Les fuites de données dans le secteur aérien présentent des risques uniques en raison de la nature sensible des informations collectées. Contrairement à d’autres secteurs, les compagnies aériennes détiennent non seulement des données financières, mais aussi des documents de voyage officiels qui ouvrent la porte à une multitude d’activités criminelles.

En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a récemment mis en garde contre les risques spécifiques associés à la compromission de documents d’identité dans le contexte des voyages. « Un passeport compromis peut être utilisé pour créer des identités fictices, ouvrir des comptes bancaires, voire commettre des actes de terrorisme », explique un rapport de l’ANSSI publié en 2025.

Les programmes de fidélité, souvent liés à des informations personnelles détaillées, représentent une autre source de risque majeur. « Les points de fidélité peuvent être monétisés ou utilisés pour obtenir des services premium de manière frauduleuse », ajoute le rapport. « De plus, les informations collectées dans ces programmes permettent souvent de reconstituer des profils détaillés des voyageurs. »

Les acteurs derrière les fuites de données aériennes

Plusieurs groupes de cybercriminales sont particulièrement actifs dans le ciblage des compagnies aériennes. Scattered Spider et Scattered LAPSUS$ Hunters ont montré une préférence marquée pour ce secteur en 2025, mais d’autres acteurs comme CL0P et Vice Society ont également été impliqués dans des attaques ciblant l’aviation.

Ces groupes utilisent diverses tactiques pour compromettre les systèmes des compagnies aériennes. L’ingénierie sociale, notamment via les fournisseurs tiers comme Salesforce dans le cas de Qantas, est devenue une méthode privilégiée. Selon une étude de l’Institut national de recherche en informatique (INRIA), plus de 60 % des attaques contre les compagnies aériennes en 2025 ont impliqué une chaîne d’approvisionnement compromise.

Les ransomwares représentent également une menace significative. Le groupe CL0P, par exemple, a exploité des vulnérabilités dans les suites logicielles d’entreprise pour accéder aux données d’Envoy Air. « Les ransomwares évoluent pour cibler spécifiquement les secteurs à haute valeur comme l’aviation, où les données ont une valeur monétaire et stratégique élevée », explique un expert en cybersécurité interrogé par nos soins.

Pourquoi l’aviation est-elle si attractive pour les cybercriminels ?

Plusieurs facteurs expliquent pourquoi le secteur aérien est devenu une cible de choix pour les cyberattaques :

1. Volume de données sensibles : Les compagnies aériennes collectent une quantité massive d’informations personnelles, allant des simples coordonnées aux documents de voyage officiels.

2. Valeur des données sur le marché noir : Un passeport ou un numéro de carte d’identité peut se vendre jusqu’à 1 000 euros sur les dark markets, selon les estimations de Cyble.

3. Complexité des systèmes : Les infrastructures technologiques des compagnies aériennes sont souvent hétérogènes et遗留 (legacy), présentant des vulnérabilités difficiles à corriger.

4. Impact systémique : Une attaque réussie peut perturber les opérations mondiales, créant une pression supplémentaire pour payer des rançons ou répondre aux exigences des attaquants.

5. Chaîne d’approvisionnement étendue : Les compagnies aériennes travaillent avec de nombreux fournisseurs tiers, créant des points d’entrée potentiels pour les attaquants.

« Dans la pratique, nous observons que les compagnies aériennes françaises comme Air France ou sont confrontées à des dizaines de tentatives d’intrusion chaque mois », explique un consultant en cybersécurité basé à Paris. « Leur position à la croisée des chemins internationaux en fait une cible de choix pour les groupes criminels organisés. »

L’impact des fuites de données sur les passagers

Même lorsque des données sensibles comme les informations de passeport ne sont pas directement exposées, les conséquences pour les passagers peuvent être graves et durables.

Risques d’usurpation d’identité

Comme le souligne Incogni, les informations apparemment anodines comme les noms, les dates de naissance et les détails des programmes de fidélité peuvent être combinées avec d’autres données pour créer des profils d’identité complets. « Un attaquant peut utiliser ces informations pour ouvrir des comptes bancaires, demander des prêts ou commettre d’autres actes frauduleux au nom de la victime », explique un expert de la CNIL (Commission nationale de l’informatique et des libertés) interrogé par nos soins.

En France, la loi pour une République numérique de 2016 oblige les entreprises à notifier les autorités en cas de fuite de données personnelles, et les victimes ont le droit d’être indemnisées pour les préjudices subis.

Conséquences financières

Les passagers victimes de fuites de données peuvent faire face à des pertes financières directes ou indirectes. « Des frais liés à la remplacement de documents d’identité, des dépenses pour services de protection de l’identité, ou même des pertes liées à des fraudes bancaires », énumère un rapport du FICO (Fair Isaac Corporation).

Selon une étude menée par le cabinet Deloitte en 2025, le coût moyen par victime de fuite de données dans le secteur aérien s’élève à 1 200 euros, incluant les frais directs et le temps perdu pour résoudre les problèmes liés à l’usurpation d’identité.

Impact psychologique

Au-delà des conséquences financières, les fuites de données peuvent avoir un impact psychologique significatif sur les victimes. « Le sentiment d’violation de la vie privée, l’anxiété face aux risques potentiels, et la difficulté à obtenir des réponses claires des entreprises peuvent entraîner un stress important », explique un psychologue spécialisé en cybersécurie.

En France, plusieurs associations de défense des consommateurs ont mis en place des services d’accompagnement pour aider les victimes de fuites de données à faire face à ces conséquences psychologiques.

Protection contre les fuites de données dans l’aviation

Incogni recommande aux personnes touchées par des fuites de données aériennes - et aux voyageurs en général - de prendre des mesures proactives pour se protéger, notamment :

1. S’inscrire à un service de surveillance de l’identité si celui-ci est proposé.
2. Signaler les appels suspects et les tentatives de phishing aux lignes d’assistance nationale contre la fraude, telles que le Centre canadien antifraude ou la FTC aux États-Unis.
3. Utiliser des mots de passe forts et uniques ainsi qu’une authentification multifacteur sur tous les comptes en ligne.
4. Supprimer les informations personnelles des sites de courtage de données et de recherche de personnes pour couper « l’un des raccourcis les plus faciles pour les escrocs ».

« Les particuliers et les organisations doivent mieux protéger, et chaque fois que possible par tous les moyens nécessaires ne pas partager, les données sensibles dans une ère où elles sont maintenant utilisées non seulement volées par les cybercriminels et les États-nations mais aussi par des organisations légitimes qui les utilisent à leurs propres fins pour manipuler des résultats spécifiques », a déclaré Ron Zayas, PDG d’Incogni, dans un communiqué.

Recommandations spécifiques pour les voyageurs

Au-delà des conseils généraux, les voyageurs peuvent prendre des mesures spécifiques pour se protéger des risques associés aux fuites de données aériennes :

• Surveiller régulièrement ses relevés bancaires et ses rapports de crédit pour détecter toute activité suspecte.
• Considérer le gel de son crédit pour empêcher l’ouverture de nouveaux comptes à son nom.
• Être vigilant face aux e-mails et appels téléphoniques se faisant passer pour la compagnie aérienne ou les autorités.
• Conserver des copies numériques et physiques de ses documents de voyage dans un endroit sécurisé.
• Changer régulièrement ses mots de passe pour les comptes liés aux voyages et aux programmes de fidélité.

Responsabilités des compagnies aériennes

Les compagnies aériennes ont également des responsabilités clés en matière de protection des données de leurs clients. Selon le RGPD (Règlement général sur la protection des données), elles doivent :

• Mettre en œuvre des mesures de sécurité appropriées pour protéger les données personnelles.
• Notifier les autorités et les concernés en cas de violation de données dans un délai de 72 heures.
• Nommer un délégué à la protection des données (DPO) pour superviser la conformité.
• Effectuer des évaluations d’impact sur la protection des données (DPIA) pour les traitements à haut risque.

« Dans la pratique, nous constatons que de nombreuses compagnies aériennes améliorent leurs pratiques, mais il reste encore des progrès à faire, notamment en ce qui concerne la gestion des fournisseurs tiers », note un auditeur en conformité RGPD.

L’avenir de la cybersécurité dans l’aviation

Face à l’augmentation des menaces, le secteur aérien est contraint d’innover pour protéger ses données et celles de ses clients. Plusieurs tendances émergent pour relever ce défi :

Technologies émergentes

• L’authentification biométrique : De plus en plus de compagnies aériennes adoptent des solutions biométriques pour vérifier l’identité des passagers, réduisant ainsi le besoin de documents physiques.
• La cryptographie quantique : Des pionniers comme Air France-KLM commencent à explorer l’utilisation de la cryptographie quantique pour sécuriser leurs communications les plus sensibles.
• L’intelligence artificielle pour la détection des menaces : Les systèmes basés sur l’IA peuvent analyser en temps réel les schémas d’activité pour identifier les anomalies potentielles.

Cadres réglementaires renforcés

Les régulateurs mondiaux durcissent leurs exigences en matière de cybersécurité pour l’aviation. En Europe, la nouvelle directive NIS 2 (Network and Information Systems) impose des obligations de sécurité renforcées aux opérateurs de services essentiels, y compris les compagnies aériennes.

En France, l’ANSSI a publié en 2025 un guide spécifique pour le secteur aérien, détaillant les bonnes pratiques et les exigences minimales en matière de cybersécurité. « Ce guide représente un cadre de référence pour les acteurs français du secteur », explique un porte-parole de l’agence.

Collaboration et partage d’informations

La lutte contre les cybermenaces dans l’aviation requiert une approche collaborative. Des initiatives comme le Aviation ISAC (Information Sharing and Analysis Center) facilitent le partage d’informations sur les menaces entre les acteurs du secteur.

En France, le dispositif CIPR (Cyber Incident Preparation and Response) mis en place par l’ANSSI permet aux entreprises de partager des informations sur les incidents de manière sécurisée tout en respectant les obligations de confidentialité.

Conclusion - Vers une cybersécurité renforcée dans l’aviation

Les fuites de données dans le secteur aérien représentent une menace croissante avec des conséquences potentiellement graves pour les passagers et les compagnies. L’incident chez Qantas, bien que relativement moins grave que ce qui aurait pu se produire, illustre parfaitement les risques associés à la collecte et au stockage de données sensibles dans ce secteur.

Face à ces défis, une approche multi-facettes est nécessaire : renforcement des mesures techniques de sécurité, amélioration des pratiques de gestion des fournisseurs tiers, et sensibilisation accrue des passagers aux risques. Les compagnies aériennes doivent également s’adapter à un paysage réglementaire de plus en plus exigeant tout en investissant dans les technologies émergentes qui permettront de mieux protéger les données de leurs clients.

Pour les voyageurs, la vigilance reste la meilleure défense. En adoptant des pratiques de sécurité numérique solides et en restant informés des risques potentiels, les passagers peuvent réduire leur exposition aux menaces liées aux fuites de données dans l’aviation.

À l’heure où les cybermenaces continuent d’évoluer, la cybersécuritude dans l’aviation n’est plus une option mais une nécessité pour garantir la confiance des voyageurs et la pérennité des entreprises du secteur.