C’est l’une des plus grandes fuites de données de l’histoire britannique. La BBC révèle que la cyberattaque subie par Transport for London (TfL), à savoir les transports en commun à Londres, qui a eu lieu en août-septembre 2024, a compromis les données personnelles d’environ 10 millions de personnes, soit beaucoup plus que ce que l’opérateur londonien avait admis à l’époque, à savoir 5 000.
Un gros piratage des transports londoniens
La BBC a pu établir cette estimation après qu’une source issue du milieu du piratage lui a transmis une copie complète de la base de données volée. Le correspondant cybersécurité de la chaîne, Joe Tidy, a retrouvé ses propres données parmi les entrées. La base contient les noms, adresses e-mail, numéros de téléphone fixe et mobile et adresses postales, répartis sur 15 colonnes de données et des millions de lignes (avec des doublons).
TfL n’a pas contesté le chiffre de la BBC, mais a précisé avoir envoyé des notifications à 7 113 429 clients dont le groupe détenait l’adresse e-mail, avec un taux d’ouverture de 58 %. L’organisation reconnaît également avoir identifié environ 5 000 clients dont les données de remboursement de la carte Oyster ont pu être consultées, incluant des numéros de compte bancaire et codes de tri. Autant dire qu’entre 5 000 et 10 millions, il y a une sacrée différence.
Deux adolescents britanniques responsables
L’attaque est attribuée au groupe Scattered Spider, un collectif anglophone spécialisé dans l’ingénierie sociale et le swap de carte SIM. Le piratage n’a pas directement perturbé les transports, mais a mis hors ligne plusieurs services numériques de TfL et des affichages d’information. Les cartes Oyster ne pouvaient temporairement plus être rechargées ni associées à des comptes utilisateurs. Le coût total de l’incident est estimé à 39 millions de livres sterling (45 millions d’euros).
Deux adolescents britanniques ont été mis en cause. Leur procès doit s’ouvrir en juin. L’Information Commissioner’s Office (ICO), le régulateur britannique de la protection des données, a conclu son enquête sans prendre de mesures concrètes contre TfL, estimant que la réponse de l’organisation était proportionnée.
Un commentaire pour cet article :