Violation de données des passagers d'Air India via SITA

Une compromission de la chaîne d'approvisionnement du fournisseur informatique aéronautique SITA a exposé les données d'environ 4,5 millions de passagers d'Air India : noms, informations de passeport, données de billetterie, numéros de fidélité et informations de cartes de paiement collectées sur près d'une décennie de réservations.

Le 21 mai 2021, Air India a notifié à ses clients qu'une compromission de son fournisseur informatique de services aux passagers avait exposé les données personnelles d'environ 4,5 millions de passagers dans le monde. L'intrusion ne s'est pas produite dans les systèmes propres d'Air India : il s'agissait d'une compromission de la chaîne d'approvisionnement de SITA, l'entreprise basée à Genève dont le système de services aux passagers (PSS) sous-tend les réservations d'une grande partie de l'industrie aérienne mondiale.

Ce qui s'est passé

SITA a détecté un accès non autorisé à son infrastructure Passenger Service System le 25 février 2021 et a divulgué l'incident publiquement le 4 mars 2021. Comme le PSS de SITA est partagé entre les écosystèmes Star Alliance et OneWorld, la compromission s'est propagée à au moins dix transporteurs, dont Singapore Airlines, Malaysia Airlines, Cathay Pacific, Finnair, Jeju Air, Lufthansa, Air New Zealand, Scandinavian Airlines et Polish Airlines.

Air India, membre de Star Alliance, figurait parmi les plus durement touchés. SITA a transmis la liste des personnes concernées les 25 mars et 5 avril 2021, après quoi la compagnie a enquêté et divulgué l'ampleur au public en mai.

Impact

Environ 4,5 millions de passagers ont vu leurs données exposées.
Les enregistrements compromis couvraient les réservations effectuées entre le 26 août 2011 et le 3 février 2021 — soit près de dix ans d'historique client.
Les champs exposés comprenaient noms, dates de naissance, coordonnées, informations de passeport, données de billetterie, données de fidélité Star Alliance et Air India, ainsi que les informations de cartes de paiement.
Fait crucial, les codes de vérification de carte (CVV/CVC) et les mots de passe de compte n'étaient pas stockés dans le système concerné et n'ont pas été exposés.

Air India a conseillé aux voyageurs affectés de modifier le mot de passe de son portail et de rester vigilants face à la fraude. Elle a également réinitialisé par précaution les mots de passe des membres de son programme de fidélité.

Pourquoi c'est important

La compromission de SITA illustre parfaitement le risque de concentration dans l'informatique aéronautique partagée. Parce qu'un seul fournisseur traite les réservations de dizaines des plus grandes compagnies aériennes du monde, une seule compromission a exposé simultanément des passagers sur plusieurs continents et alliances. Pour l'Inde en particulier, elle demeure l'une des plus importantes expositions de données de voyage liées aux passeports des citoyens, survenue alors que le pays débattait de son cadre de protection des données personnelles. L'incident a confirmé que la posture de protection des données d'une organisation ne vaut que celle des tiers auxquels elle externalise ses traitements essentiels — une leçon qui a renforcé les attentes en matière de gestion des risques fournisseurs et de notification des violations dans le secteur aéronautique.

Chronologie

25 février 2021

SITA, le fournisseur informatique aéronautique basé à Genève, détecte pour la première fois un accès non autorisé à son infrastructure de système de services aux passagers (PSS).

4 mars 2021

SITA divulgue publiquement la compromission de son PSS, affectant plusieurs transporteurs Star Alliance et OneWorld dans le monde.

25 mars 2021

SITA fournit à Air India l'identité des personnes concernées ; un second lot suit le 5 avril.

21 mai 2021

Air India notifie publiquement ses clients qu'environ 4,5 millions d'enregistrements de passagers ont été compromis lors de l'incident SITA.

24 mai 2021

Air India publie une divulgation actualisée confirmant que les données couvraient les réservations effectuées entre le 26 août 2011 et le 3 février 2021.

Sources

therecord.mediahttps://therecord.media/air-india-says-data-breach-impacts-4-5-million-former-passengers

techcrunch.comhttps://techcrunch.com/2021/05/23/air-india-passenger-data-breach-reveals-sita-hack-worse-than-first-thought

securityaffairs.comhttps://securityaffairs.com/118162/data-breach/air-india-data-breach.html

bbc.comhttps://www.bbc.com/news/world-asia-india-57210118

Incidents liés

Chaîne d’approvisionnementContenu16 février 2026

Fuite de données chez Voyage Privé - réservations à venir exposées

Voyage Privé, la plateforme française de voyages en vente flash, a confirmé en février 2026 qu'un partenaire tiers compromis avait exposé des données de réservation de clients ayant des voyages à venir — noms, pays de résidence, e-mails, numéros de téléphone et, dans certains cas, numéros de passeport — alimentant une vague de phishing sur WhatsApp.

Victim: Voyage Privé

Chaîne d’approvisionnementContenu20 novembre 2025

Fuite chez Suzuki

Suzuki France a révélé qu'une cyberattaque visant le système d'un de ses partenaires tiers a exposé un fichier client contenant noms, adresses email, adresses postales et numéros de téléphone ; aucune donnée financière ni mot de passe n'était concerné.

Victim: Suzuki

Chaîne d’approvisionnementContenu6 août 2025

Fuite chez Air France

En août 2025, Air France-KLM a révélé que des attaquants avaient accédé à des données clients — nom, prénom, coordonnées, numéro et statut Flying Blue, et objet des demandes au service client — via une plateforme de service client tierce compromise.

Victim: Air France

Chaîne d’approvisionnementRésolu15 avril 2025

Fuite chez Hertz

Le 15 avril 2025, le loueur de voitures Hertz a révélé une fuite de données provenant de l'exploitation fin 2024, par le groupe CL0P, de failles zero-day du logiciel de transfert de fichiers Cleo, exposant noms, coordonnées, dates de naissance, permis de conduire, données bancaires et passeports de clients.

Victim: Hertz