Cyberattaque par rançongiciel contre TAP Air Portugal

Le 26 août 2022, TAP Air Portugal — la compagnie aérienne nationale détenue par l'État portugais — a confirmé avoir été victime d'une cyberattaque dans la nuit. Ce que la compagnie a d'abord décrit comme une intrusion contenue et bloquée s'est transformé en la plus importante fuite de données clients de l'histoire de l'aviation portugaise lorsque le gang de rançongiciel Ragnar Locker a publié des centaines de gigaoctets de données volées quelques semaines plus tard.

Ce qui s'est passé

Selon TAP, les attaquants ont frappé son infrastructure dans la nuit du 25 août 2022. La compagnie a activé ses mécanismes de sécurité, a déclaré avoir bloqué tout accès non autorisé et a rassuré les passagers sur le fait que les opérations de vol et la sécurité n'étaient pas affectées. Surtout, les premières déclarations de TAP affirmaient qu'« aucun fait ne permet de conclure à un accès indu aux données clients ».

Cette position n'a pas tenu. Le 31 août, l'opération de rançongiciel Ragnar Locker a publiquement nommé TAP sur son site de fuites, affirmant avoir pénétré le réseau de la compagnie, volé des informations clients et publié une capture d'écran d'échantillons de données chargées d'informations personnelles identifiables. Le groupe a présenté la minimisation de l'incident par la compagnie comme une tromperie envers ses propres clients — une tactique de pression caractéristique de la double extorsion.

Conséquences

À partir d'environ le 21 septembre 2022, Ragnar Locker a commencé à diffuser les données exfiltrées :

• Un ensemble d'environ 581 Go de fichiers couvrant approximativement 1,5 million de clients.
• Les champs exposés comprenaient noms, dates de naissance, genres, nationalités, adresses e-mail, numéros de téléphone, adresses postales, civilités et langues parlées.
• Lorsque le jeu de données a été indexé par Have I Been Pwned le 23 septembre, il contenait plus de 5 millions d'adresses e-mail uniques et concernait au total environ 6,08 millions de comptes.

Aucun fait ne confirme publiquement que le rançongiciel ait chiffré des systèmes critiques ou cloué des vols au sol ; le préjudice fut très majoritairement une atteinte à la confidentialité. TAP et l'autorité portugaise de protection des données (CNPD) ont traité cette exposition comme un incident majeur de données personnelles nécessitant la notification des clients.

Attribution

Ragnar Locker était une opération de rançongiciel-as-a-service bien établie, connue pour cibler les infrastructures critiques et les grandes entreprises, et pour son site de fuites agressif de dénonciation publique. L'infrastructure du gang a ensuite été démantelée lors d'une opération internationale de maintien de l'ordre en octobre 2023, avec des arrestations dans plusieurs pays.

Pourquoi c'est important

La compromission de TAP est un exemple classique de l'écart entre « attaque bloquée » et « données protégées ». Les premières assurances de TAP ont mal vieilli dès l'instant où l'attaquant a publié la preuve de l'exfiltration, érodant la confiance des clients et invitant à un examen réglementaire. Pour une compagnie nationale gérant des millions de dossiers de réservation et de fidélité, l'épisode a souligné que les groupes de rançongiciel monétisent de plus en plus les données volées par la publication et l'extorsion, même lorsque les victimes refusent de payer — et que la communication de crise doit tenir compte du fait que c'est l'intrus, et non la victime, qui contrôle le récit.