Skip to content
Cyber Breaches
Recherche
Fuite de donnéesRésolu

Violation de données des passagers de Cathay Pacific

Une intrusion pluriannuelle dans les systèmes informatiques de Cathay Pacific a exposé les données personnelles de 9,4 millions de passagers dans le monde, dont des numéros de passeport et de pièce d'identité, valant à la compagnie aérienne l'amende maximale de 500 000 £ infligée par l'ICO britannique avant le RGPD.

Victime
Cathay Pacific Airways
Perte
$645.0K
données
9.4M
utilisateurs
9.4M
SecteurTransport
PaysR.A.S. chinoise de Hong Kong

Le 24 octobre 2018, Cathay Pacific Airways, la compagnie aérienne nationale de Hong Kong, a révélé que des attaquants avaient accédé aux données personnelles de 9,4 millions de passagers dans le monde. L'enquête a ultérieurement révélé que l'intrusion avait persisté sans être détectée pendant plus de trois ans et demi, d'octobre 2014 à mai 2018 — l'un des temps de présence les plus longs jamais enregistrés dans une violation majeure de compagnie aérienne.

Ce qui s'est passé

Les attaquants ont obtenu l'accès aux systèmes informatiques de Cathay Pacific dès octobre 2014. La compagnie ne s'est aperçue qu'un problème existait qu'en mars 2018, après avoir détecté une activité suspecte à la suite d'une attaque par force brute sur les mots de passe. À ce moment-là, les intrus avaient eu des années d'accès aux dossiers des passagers.

Lorsque l'Information Commissioner's Office (ICO) britannique a enquêté par la suite, il a constaté ce que les observateurs ont qualifié de « catalogue d'erreurs ». Les manquements comprenaient :

  • Des sauvegardes de bases de données non protégées par mot de passe
  • Des serveurs exposés à Internet laissés sans correctifs contre des vulnérabilités connues
  • Des systèmes d'exploitation qui n'étaient plus pris en charge par leurs développeurs
  • Une protection antivirus inadéquate

Ces défaillances élémentaires ont donné aux attaquants un accès facile et persistant à des données sensibles.

Impact

  • 9,4 millions de passagers dans le monde ont vu leurs données exposées, dont 233 234 dans l'EEE et 111 578 au Royaume-Uni.
  • Les champs compromis comprenaient les noms, nationalités, dates de naissance, numéros de téléphone, adresses e-mail et postales, numéros de passeport et de pièce d'identité, numéros de grand voyageur, remarques du service client et historique des voyages.
  • L'ICO a infligé son amende maximale de 500 000 £ au titre du Data Protection Act 1998, antérieur au RGPD.

Un cas frôlé de justesse avec le RGPD

Le calendrier fut déterminant. Parce que la violation était antérieure à l'entrée en vigueur du RGPD le 25 mai 2018, l'ICO était plafonné à 500 000 £. Si la violation s'était poursuivie quelques semaines de plus sous le RGPD, Cathay Pacific aurait pu encourir une sanction allant jusqu'à 4 % de son chiffre d'affaires annuel mondial — soit environ 470 millions de livres. L'affaire est devenue une illustration de manuel de la façon dont les enjeux réglementaires avaient radicalement changé.

Pourquoi c'est important

Cathay Pacific demeure une leçon emblématique du coût de la négligence des fondamentaux de sécurité : des serveurs non corrigés, des sauvegardes non protégées et des logiciels en fin de vie ont permis une compromission pluriannuelle de l'une des compagnies aériennes les plus en vue d'Asie. L'affaire a également cristallisé le point d'inflexion du RGPD pour les conseils d'administration du monde entier — le même incident survenu quelques semaines plus tard aurait entraîné une amende près de mille fois plus élevée, faisant de cette violation un récit édifiant repris dans chaque exposé sur la protection des données depuis lors.

Chronologie

  1. Les attaquants commencent à accéder aux systèmes informatiques de Cathay Pacific ; l'accès non autorisé se poursuit sans être détecté pendant des années.

  2. Cathay Pacific détecte une activité suspecte à la suite d'une attaque par force brute sur les mots de passe et lance une enquête.

  3. Le dernier accès non autorisé connu aux systèmes affectés a lieu.

  4. Cathay Pacific révèle publiquement que les données personnelles de 9,4 millions de passagers ont été compromises.

  5. L'ICO britannique émet un avis de sanction pécuniaire infligeant à Cathay Pacific une amende de 500 000 £, le maximum prévu par le Data Protection Act 1998.

  6. L'ICO annonce publiquement la sanction de 500 000 £ pour les manquements de sécurité de la compagnie aérienne.

Sources

  1. computerweekly.comhttps://www.computerweekly.com/news/252479582/Cathay-Pacific-hit-with-500000-data-protection-fine-from-ICO-over-2018-breach
  2. sophos.comhttps://www.sophos.com/en-us/blog/cathay-pacific-fined-over-crooks-slurping-its-database-for-over-4-years
  3. hunton.comhttps://www.hunton.com/privacy-and-information-security-law/ico-fines-international-airline-cathay-pacific-gbp-500000-maximum-available-for-failing-to-secure-customers-personal-data
  4. bitdefender.comhttps://www.bitdefender.com/en-us/blog/hotforsecurity/cathay-pacific-slammed-for-security-failures-following-hack-which-exposed-9-4-million-people-worldwide

Incidents liés

Fuite de donnéesEn cours

Fuite chez Interrail

Une cyberattaque de décembre 2025 contre Eurail B.V., opérateur des pass Interrail et Eurail, a exposé les données personnelles d'environ 308 000 voyageurs — noms, coordonnées, dates de naissance et numéros de passeport — revendues sur le dark web en 2026.

Victim
Interrail
Records
308.8K
Fuite de donnéesContenu

Fuite de données chez Mingat

Le 19 mars 2026, l'entreprise française de location de véhicules Mingat a confirmé une fuite de données touchant ses clients, qu'elle a informés d'un incident de sécurité ayant exposé des informations personnelles issues de ses fichiers de location.

Victim
Mingat