Une arnaque au support technique à l’origine d’une fuite massive de données chez Qantas touchant 5,7 millions de clients

L’autorité australienne de protection de la vie privée a statué que Qantas n’avait pas enfreint les lois sur la protection des données lorsqu’une attaque de vishing a manipulé un agent du centre d’appels en lui soutirant les informations personnelles de 5,7 millions de clients, une conclusion qui souligne à quel point l’ingénierie sociale peut être efficace, même contre un personnel bien formé.

La violation de 2025 s’est produite lorsqu’un appelant se faisant passer pour le « service informatique de Qantas » a convaincu un employé du centre d’appels de connecter le système de gestion de la relation client de la compagnie aérienne à un outil externe d’extraction de données. L’attaquant a ensuite siphonné les informations personnelles identifiables de millions de clients.

La commissaire australienne à la protection de la vie privée, Carly Kind, a conclu que Qantas avait pris des mesures raisonnables pour prévenir un tel incident et n’avait donc pas contrevenu aux principes australiens de protection de la vie privée. La compagnie aérienne avait audité l’opérateur du centre d’appels, testé la sensibilisation à la sécurité des employés dans les mois précédant l’attaque, imposé une formation récurrente à la protection des données et mis en place des contrôles d’accès basés sur les rôles.

« Il ne semble pas que Qantas aurait raisonnablement pu prévoir et empêcher la violation de la manière dont elle s’est produite », indique le rapport de la commissaire. « La manière dont l’acteur malveillant a obtenu l’accès était via une attaque de vishing qui n’aurait pas pu être empêchée par un renforcement des contrôles d’accès actuels basés sur les rôles de Qantas. »

La commissaire a refusé d’ouvrir une enquête formelle, bien que l’affaire puisse être réexaminée. Des recours collectifs contre la compagnie aérienne sont déjà en cours.

Bien que le rapport ne nomme pas les attaquants, les spéculations du secteur pointent vers le gang criminel Scattered Spider, qui avait déplacé son attention vers l’industrie aéronautique dans les semaines précédant l’incident chez Qantas.

Cette conclusion établit un précédent notable quant à la manière dont les régulateurs peuvent considérer les attaques sophistiquées d’ingénierie sociale contre des organisations dotées de pratiques de sécurité matures, et souligne que même les systèmes bien défendus restent vulnérables à la plus ancienne vulnérabilité : la confiance humaine.

Traduit par Lydie

Scroll to Top