La filiale française de Transavia, filiale du groupe Air France-KLM, a été victime d'une cyberattaque lors de laquelle les hackers ont mis la main sur les données personnelles des salariés. C'est le blog spécialisé dans la cybersécurité Zataz qui a révélé cette information.



Passeport, coordonnées...

Contacté par L'Usine Digitale, Transavia a confirmé "l'intrusion malveillante" dans "son système informatique interne". Les cyberattaquants ont "copié" "la photocopie de passeport, les coordonnées personnelles et le certificat d'aptitude au travail". En revanche, ils n'ont pas eu accès aux données des clients.



"Tous les documents qui nous ont été demandés lors de notre embauche étaient stockés sur un serveur de fichiers et que celui-ci était facilement accessible. Ce sont donc les données personnelles de centaines de personnes qui ont fuitées", a affirmé l'un des salariés à Zataz. Il a été informé de la fuite par un email envoyé par les hackers le 15 février dans lequel ils révélaient l'existence d'un serveur sécurisé.



Pas de divulgation, promettent les hackers

Comme le note Zataz, leur motivation ressemble à ce que ferait un lanceur d'alerte. "Vos documents privés ont été divulgués, mais n’oublions pas que nous ne sommes pas des ordures. Vos données privées resteront privées, et nous ne les divulguerons ni ne les vendrons (…) Toutes les données en notre possession ont été supprimées afin de rassurer les personnes concernées par cette fuite ", promettent les hackers.



La filiale affirme avoir "immédiatement renforcé la protection de son système informatique interne". Une enquête judiciaire a été ouverte pour déterminer l'origine et les acteurs de cet incident de sécurité.



Ce n'est pas la première fois que la compagnie aérienne a des soucis liés à la sécurité des données. Elle a été condamnée par la Dutch Data Protection Authority (DPA), l'équivalent de la Commission nationale de l'informatique et des libertés (Cnil), à une amende de 400 000 euros à la suite d'une fuite ayant permis à des hackers de récupérer les informations de 25 000 passagers.



Transavia s'expose également à une amende pouvant aller jusqu'à 4% de son chiffre d'affaires annuel, en vertu du Règlement général sur la protection des données (RGPD). La Cnil pourrait lui reprocher d'avoir mal sécurisé le serveur à l'origine de la fuite.