La compagnie aérienne Air France a révélé ce jeudi 7 août avoir été victime d’un accès frauduleux à des données de certains de ses clients. Si aucune information sensible n’a été dérobée selon l’entreprise, les risques de phishing sont bien réels.

Données personnelles et risques de phishing

Si les données les plus critiques semblent avoir été protégées, certaines informations personnelles ont néanmoins été exposées. Selon un email envoyé à plusieurs clients concernés – dont le contenu a été consulté par Tech&Co –, il s’agirait notamment du nom, du prénom, des coordonnées de contact, du numéro de fidélité Flying Blue et du contenu d’échanges par courriel entre le client et Air France.

La compagnie aérienne n’a pas précisé le nombre exact de personnes touchées par cette violation de données, mais indique qu’elle les contacte actuellement “de manière individualisée”.

Les experts en cybersécurité s’inquiètent désormais des possibles répercussions de cette brèche. En effet, les données extraites pourraient être utilisées pour mener des campagnes de phishing ciblées, rendues plus crédibles grâce à l’emploi d’informations personnelles. Air France invite ainsi tous les clients concernés à redoubler de vigilance en cas de réception d’emails ou d’appels suspects.

Une plateforme tierce en cause

Air France-KLM explique que la faille ne provient pas directement de ses propres serveurs informatiques, mais d’un prestataire externe. La plateforme concernée était utilisée par les centres de contact de la compagnie pour la gestion de la relation client. Dès la détection de l’incident, des mesures ont été prises pour interrompre l’accès frauduleux et renforcer la sécurité de l’outil. La compagnie assure que “ses systèmes n’ont pas été affectés” et que “des protections supplémentaires” ont été déployées.

Cette réaction rapide permet à Air France d’écarter, pour l’heure, un scénario plus grave impliquant une compromission de ses infrastructures critiques. Cependant, l’incident rappelle que les chaînes de sous-traitance informatique restent un maillon vulnérable, souvent ciblé par les cybercriminels pour accéder à des données clients.

Signalement auprès de la CNIL

Conformément au règlement général sur la protection des données (RGPD), Air France a signalé l’incident à la Commission nationale de l’informatique et des libertés (CNIL). Cette procédure, désormais standard, permet aux autorités de suivre de près les violations de données personnelles et d’évaluer les mesures prises par les entreprises concernées.

Si l’entreprise semble avoir contenu la fuite, l’événement jette une lumière crue sur la vulnérabilité des données dans le secteur aérien. Ces derniers mois, plusieurs compagnies à travers le monde ont été visées par des cyberattaques, exploitant notamment les systèmes de réservation ou les programmes de fidélité. Ces bases de données attirent les hackers pour leur richesse en informations exploitables à des fins malveillantes.

Une confiance à reconstruire

La priorité pour Air France sera désormais de restaurer la confiance de ses clients. En invitant à la vigilance tout en affirmant que les données critiques n’ont pas été touchées, la compagnie tente un exercice d’équilibre délicat entre transparence et contrôle de l’image.

Reste que pour les clients, la menace de recevoir des messages frauduleux imitant la communication officielle d’Air France est désormais bien réelle. Dans ce contexte, la vigilance individuelle demeure la meilleure défense. Et pour la compagnie, cet épisode constitue un rappel de la nécessité de sécuriser non seulement ses propres systèmes, mais aussi ceux de ses partenaires externes.