Fuites de données aériennes : pourquoi elles menacent nos identités et comment Qantas a évité le pire

Célestine Rochefour

Pourquoi les compagnies aériennes sont-elles des cibles privilégiées pour les cybercriminels?

Les compagnies aériennes constituent des cibles de choix pour les pirates informatiques en raison de la masse considérable de données personnelles qu’elles collectent. Parmi toutes ces informations, aucune n’est plus convoitée par les cybercriminels que les passeports et les cartes d’identité gouvernementales.

Selon une étude de Cyble, plus de 20 violations de données ont été revendiquées par des acteurs de la menace sur le dark web au cours des dix premiers mois de 2025, marquant une augmentation d’environ 50% par rapport à la même période de l’année précédente. Cette tendance inquiétante souligne l’attrait croissant des compagnies aériennes pour les groupes criminels organisés.

Les raisons de cette vulnérabilité sont multiples :

  1. Volume de données sensibles : chaque vol implique le traitement d’informations personnellement identifiables (PII) allant des noms et adresses aux coordonnées bancaires et aux détails des documents de voyage.
  2. Complexité des systèmes : les compagnies aériennes utilisent des écosystèmes technologiques complexes avec de multiples interconnexions entre systèmes de réservation, fidélité et opérations aériennes.
  3. Dépendance aux fournisseurs tiers : comme l’a démontré récemment le cas Qantas, une vulnérabilité chez un fournisseur peut compromettre des données clientes à l’échelle industrielle.

Dans la pratique, nous observons que les compagnies aériennes françaises et européennes ne sont pas à l’abri de ces menaces, malgré les réglementations strictes comme le RGPD. La complexité de leur infrastructure numérique et la multiplicité des partenaires technologiques les rendent particulièrement exposées.

“Contrairement aux cartes de crédit, les documents de voyage sont difficiles à remplacer et peuvent être exploités pendant des années dans la fraude d’identité synthétique, la création de faux documents de voyage et les escroqueries d’usurpation”, explique Darius Belejevas, responsable d’Incogni, spécialiste de la protection des données personnelles.

L’impact des fuites de passeports et documents d’identité

Les fuites impliquant des passeports et des documents d’identité gouvernementale posent un “risque grave et à long terme de vol d’identité”, selon les experts de la protection des données. Contrairement aux informations bancaires qui peuvent être rapidement bloquées et remplacées, les documents d’identité officiels présentent des caractéristiques uniques qui en font des outils particulièrement précieux pour les criminels.

Les conséquences potentielles de telles fuites sont multiples et graves :

  • Fraude d’identité synthétique : les criminels combinent des éléments d’identification provenant de différentes sources pour créer de fausses identités crédibles.
  • Falsification de documents : avec les numéros de passeport et dates de naissance, il devient possible de créer de faux documents officiels.
  • Usurpation d’identité : les victimes peuvent voir leur identité utilisée pour ouvrir des comptes bancaires, contracter des emprunts ou commettre des délits en leur nom.
  • Escroqueries ciblées : les informations de voyage permettent d’élaborer des campagnes de phishing hautement personnalisées et difficiles à détecter.

Selon l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, un passeport volé ou compromis peut être exploité pendant une moyenne de 18 mois avant d’être détecté et révoqué, laissant une fenêtre d’action considérable aux cybercriminels.

Dans le contexte français, la CNIL Commission nationale de l’informatique et des libertés a récemment mis en garde contre l’augmentation des cas d’usurpation d’identité impliquant des données de voyage, soulignant la nécessité pour les voyageurs de rester particulièrement vigilants.

Le cas Qantas : quand une fuite aurait pu être catastrophique

La récente fuite de données chez Qantas Airways, révélée par le groupe de menace Scattered LAPSUS$ Hunters, aurait pu avoir des conséquences bien plus graves qu’elle n’en a finalement eu. Les données compromises incluaient des noms, adresses e-mail et détails des programmes de fidélité, ainsi qu’une petite quantité d’informations plus personnelles comme les adresses postales, dates de naissance et numéros de téléphone.

Selon le communiqué officiel de Qantas : “aucune donnée de carte de crédit, d’informations financières personnelles ou de détails de passeport n’a été affectée”. Cette précision est cruciale, car elle signifie que la compagnie aérienne a évité le scénario le plus redouté dans ce type d’incident.

Toutefois, même sans les données les plus sensibles, les risques pour les consommateurs restent significatifs, comme le souligne Incogni. “Même lorsque les données de paiement ou de passeport ne sont pas exposées, les identifiants personnels tels que les noms, les dates de naissance et les détails des programmes de fidélité peuvent suffire à déclencher une fraude à grande échelle”, explique M. Belejevas.

L’incident met également en lumière le risque croissant des fournisseurs tiers. La fuite de Qantas était en effet liée à une ingénierie sociale visant Salesforce et à des violations chez des fournisseurs tiers, ce qui illustre comment une seule chaîne d’approvisionnement compromise peut avoir des répercussions à l’échelle industrielle.

“Le cas Qantas montre comment un fournisseur compromis peut créer un effet de contagion à travers les secteurs, exposant des millions d’enregistrements clients lors d’un seul incident”, ajoute M. Belejevas.

Cette situation est particulièrement pertinente pour le marché français, où de nombreuses compagnies aériennes font appel à des écosystèmes de fournisseurs complexes, augmentant ainsi leur surface d’attaque potentielle. La récente cyberattaque contre Air France-KLM en 2024 avait déjà démontré cette vulnérabilité, affectant des centaines de milliers de passagers.

L’essor inquiétant des violations chez les compagnies aériennes en 2025

Selon la base de données de renseignement sur les menaces de Cyble, plus de 20 violations de données ont été revendiquées par des acteurs de la menace sur le dark web au cours des dix premiers mois de 2025, marquant une augmentation d’environ 50% par rapport à la même période de 2024. Cette hausse s’explique en partie par une focalisation accrue du secteur par des groupes comme Scattered Spider et l’alliance plus large des Scattered LAPSUS$ Hunters, mais d’autres groupes de menaces semblent également viser spécifiquement le secteur aérien.

L’incident le plus récent concernait la semaine dernière, lorsque le groupe de rançongiciel CL0P a affirmé détenir des données de la compagnie régionale Envoy Air d’American Airlines. La réponse d’Envoy Air à The Cyber Express a confirmé l’incident mais a précisé qu’aucune donnée client n’était impliquée :

“Nous sommes au courant de l’incident concernant l’application Oracle E-Business Suite d’Envoy. À la connaissance du problème, nous avons immédiatement commencé une enquête et les forces de l’ordre ont été contactées. Nous avons mené un examen approfondi des données en cause et avons confirmé qu’aucune donnée sensible ou client n’a été affectée. Une quantité limitée d’informations commerciales et de coordonnées commerciales peut avoir été compromise.”

WestJet, qui a subi une violation de données en juin de cette année, n’a pas été aussi chanceux, car la violation a exposé certains documents de voyage des passagers tels que les passeports et autres informations d’identification gouvernementales. WestJet a répondu en offrant aux clients touchés 24 mois de protection et de surveillance de l’usurpation d’identité gratuits, mais Incogni met en garde contre le fait que les documents d’identité compromis “peuvent alimenter la fraude pendant beaucoup plus longtemps” que deux ans.

Dans le contexte français, les autorités de cybersécurité surveillent de près cette tendance. L’ANSSI a récemment émis un avertissement concernant l’augmentation des ciblages des compagnies aériennes, soulignant la nécessité pour ces entreprises de renforcer leurs postures de sécurité, notamment en ce qui concerne la protection des données de voyage.

Pourquoi cette augmentation soudaine ? Plusieurs facteurs expliquent cette tendance préoccupante :

  1. Valeur des données : les informations de voyage sont particulièrement précieuses sur le marché noir, avec les passeports vendus jusqu’à 1 000$ pièce.
  2. Complexité des systèmes : les infrastructures héritées et les interconnexions multiples créent des points d’entrée potentiels pour les attaquants.
  3. Pression financière : la crise post-pandémie a poussé de nombreuses compagnies à réduire leurs budgets cybersécurité, créant des vulnérabilités.

Dans la pratique, les experts observent que les compagnies aériennes françaises ont été relativement épargnées par ces vagues d’attaques en 2025, principalement grâce à des investissements ciblés dans la sécurité et à une collaboration étroite avec l’ANSSI. Cependant, la menace reste réelle et nécessite une vigilance constante.

Protéger ses données personnelles face aux risques des compagnies aériennes

Face à l’augmentation des risques de fuites de données chez les compagnies aériennes, Incogni recommande aux personnes touchées par ces violations - et aux voyageurs en général - de prendre des mesures proactives pour se protéger. Ces recommandations sont particulièrement pertinentes dans le contexte français où la protection des données personnelles est encadrée par le RGPD et la loi informatique et libertés.

Mesures de protection essentielles :

  1. S’inscrire à la surveillance de l’usurpation d’identité si elle est offerte par la compagnie aérienne concernée.
  2. Signaler les appels suspects et les tentatives de phishing aux antifraude nationaux tels que le Centre Anti-Fraude Canada ou la FTC aux États-Unis. En France, la Plateforme nationale de signalement des fraudes est un point de contact essentiel.
  3. Utiliser des mots de passe forts et uniques ainsi que l’authentification multi-facteurs (MFA) sur tous les comptes en ligne. Cette mesure simple peut réduire considérablement le risque de compromission des comptes.
  4. Supprimer les informations personnelles des sites courtiers en données et de recherche de personnes pour couper “l’un des raccourcis les plus faciles pour les escrocs”. En France, des services comme “Suppression de données personnelles” peuvent aider dans cette démarche.

La CNIL recommande également aux voyageurs français de :

  • Vérifier régulièrement l’exactitude de leurs informations dans les fichiers nationaux comme le TES (Titre Électronique Sécurité) et le casier judiciaire national.
  • Signaler immédiatement toute perte ou vol de documents officiels aux autorités compétentes.
  • Surveiller les comptes bancaires et les relevés de carte de crédit après tout voyage pour détecter d’éventuelles transactions frauduleuses.

“Les particuliers et les organisations doivent mieux protéger, et chaque fois que possible par tous les moyens nécessaires ne pas partager, les données sensibles dans une ère où elles sont maintenant utilisées non seulement volées par les cybercriminels et les États-nations mais aussi par des organisations légitimes qui les utilisent à leurs propres fins pour manipuler des résultats spécifiques”, déclare Ron Zayas, PDG d’Incogni.

Dans le cadre des programmes de fidélité aérienne, la CNIL recommande de :

  • Limiter la quantité d’informations personnelles partagées lors de l’inscription.
  • Éviter d’utiliser des informations personnelles faciles à deviner comme mots de passe.
  • Activer toutes les options de sécurité disponibles, y compris l’authentification biométrique si elle est proposée.

Conclusion : agir ensemble pour sécuriser nos informations

Les fuites de données aériennes représentent un défi croissant pour la sécurité des informations personnelles dans notre monde hyperconnecté. Comme l’a démontré le cas Qantas, même les violations qui semblent initialement moins graves peuvent avoir des conséquences significatives à long terme. La valeur des informations de voyage sur le marché noir, combinée à la complexité des systèmes aériens, fait de ce secteur une cible de choix pour les cybercriminels.

Face à cette menace, une approche multi-nive est essentielle. Les compagnies aériennes doivent investir dans des systèmes de sécurité robustes, renforcer leur gestion des risques fournisseurs et mettre en place des protocoles de réponse aux incidents efficaces. De leur côté, les passagers doivent adopter des pratiques de sécurité strictes et rester vigilants face aux tentatives d’usurpation d’identité.

La coopération entre les autorités de régulation comme l’ANSSI et la CNIL, les entreprises et les consommateurs est cruciale pour contrer efficacement ces menaces. Dans le contexte français, le cadre réglementaire offert par le RGPD et la loi informatique et libertés fournit une base solide pour la protection des données personnelles, mais sa mise en œuvre effective reste essentielle.

En tant que voyageurs, nous avons tous un rôle à jouer dans la protection de nos informations personnelles. En adoptant les bonnes pratiques de sécurité et en restant informés des menaces émergentes, nous pouvons tous contribuer à rendre nos voyages plus sûrs et plus sécurisés. La vigilance collective reste notre meilleure défense contre les fuites de données aériennes.