Une agence de voyage française a été victime d’une attaque de type ransomware dans la nuit du 15 au 16 mai. À l’époque, l’agence avait donné des nouvelles rassurantes, affirmant que « jusqu’à présent, aucune donnée client ou de paiement n’avait été volée ». Seulement quelques jours après l’incident, et après avoir refusé de payer une rançon, les pirates ont mis à exécution leurs menaces en rendant publiques les données recueillies.
Une fuite d’ampleur
Environ 8 000 passeports français ont été rendus accessibles sur le darknet à la suite d’une cyberattaque menée à la mi-mai par un groupe de pirates informatique contre une agence de voyages.
Les malfaiteurs ont pénétré dans leur système informatique et ont réussi à mettre la main sur des milliers de passeports de clients. Dans un communiqué de presse, la société française explique que ces passeports sont des photocopies collectées de manière facultative, dans le but de faciliter l’organisation des voyages. Cette fuite concerne environ 2% des clients.
Les passeports ne sont pas les seuls donnés personnelles volées par les pirates puisqu’ils sont accompagnés des numéros de téléphone et des adresses e-mail de leurs détenteurs. Le groupe prétend également détenir « beaucoup de documents confidentiels » de l’agence tels que des contrats commerciaux avec des fournisseurs.
Un risque conséquent d’usurpation d’identité et de fraude
Les réelles victimes restent sont sans doute les milliers de clients qui se sont vus dérobés leur pièce d’identité et leurs informations personnelles. Le principal risque à craindre est l’usurpation d’identité, en particulier en ligne. Certains services en ligne requièrent par exemple une simple vérification d’identité en par une copie de son titre d’identité.
Des solutions existent pour sécuriser cette vérification et éviter les usurpations : celle nécessitant un Facematch, c’est-à-dire une reconnaissance faciale. La vérification d’identité se déroule en deux étapes avec l’envoi de sa pièce d’identité puis la réalisation d’un selfie pour prouver que l’utilisateur en est le légitime détenteur.