Qantas confirme une violation majeure de données liée à un fournisseur tiers

Qantas a confirmé une violation de données après que des attaquants ont obtenu l'accès via une plateforme de centre d'appels tierce, affectant des millions de voyageurs fréquents au moment même où l'industrie aérienne se dirige vers sa saison la plus chargée.

La faille a été découverte le 1er juillet 2025, lorsque l'équipe de cybersécurité de la compagnie aérienne a signalé une activité suspecte sur les systèmes d'un fournisseur de centre de contact externe. Selon les premières estimations, selon le communiqué de presse de Qantas, les dossiers de jusqu'à six millions de clients pourraient avoir été exposés, notamment leurs noms, adresses e-mail, numéros de téléphone, dates de naissance et numéros de carte de fidélité. Qantas affirme qu'aucune donnée financière, mot de passe ou passeport n'a été affecté.

Bien que la compagnie ait rapidement maîtrisé la faille, les analystes en cybersécurité préviennent que cette attaque s'inscrit dans une tendance qui a touché plusieurs compagnies aériennes ces dernières semaines. Les entreprises de sécurité et les agences fédérales américaines pointent du doigt le groupe de pirates informatiques connu sous le nom de Scattered Spider , soupçonné d'être à l'origine d'incidents similaires ayant visé Hawaiian Airlines et WestJet le mois dernier.

Ces attaquants sont spécialisés dans les tactiques d'ingénierie sociale qui incitent le personnel du service client et les fournisseurs à leur accorder l'accès aux systèmes internes. Scattered Spider a récemment été accusé d'être à l'origine de plusieurs cyberattaques de grande envergure, notamment celles visant Victoria's Secret , M&S , Co-op et MGM Resorts en septembre 2023.

Les compagnies aériennes sont des cibles privilégiées pour les cybercriminels, car elles gèrent d'énormes quantités de données personnelles, des horaires serrés et des opérations internationales. Qantas affirme que ses systèmes centraux restent sécurisés et que la plateforme compromise a été isolée et étudiée avec l'aide d'experts externes.

Jordan Avnaim , RSSI chez Entrust, affirme que les attaques d'ingénierie sociale progressent rapidement, alimentées par les deepfakes et les arnaques par usurpation d'identité très convaincantes. Il souligne que les vulnérabilités de la chaîne d'approvisionnement constituent un point d'entrée privilégié pour les criminels cherchant à accéder à des réseaux plus vastes.

« Avec la saison estivale chargée qui bat son plein, il n'est pas surprenant de voir les attaquants cibler les secteurs du voyage et de l'aviation, où ils peuvent perturber les opérations et ébranler la confiance des clients. Se protéger contre cette menace ne se limite pas à une simple sécurité périmétrique. Il faut former les employés, appliquer les principes du Zero Trust, utiliser une authentification forte et inviolable et mettre en place des contrôles d'identité résistants à l'ingénierie sociale. Il ne s'agit pas seulement d'un problème informatique : il nécessite des investissements continus et l'engagement de la direction pour se préparer aux incidents et réagir rapidement lorsqu'ils surviennent », explique Avnaim.

Qantas collabore avec le Centre australien de cybersécurité et les autorités de régulation de la confidentialité. Les clients concernés seront contactés directement. La compagnie aérienne recommande aux passagers de rester vigilants face aux e-mails d'hameçonnage se faisant passer pour Qantas et leur rappelle de ne jamais communiquer leurs mots de passe ou informations de paiement par e-mail ou par téléphone.