La compagnie de croisière la plus populaire au monde a subi une violation de données majeure, exposant potentiellement les informations personnelles de millions de passagers.
Carnival Cruise Line a annoncé le mois dernier que ses systèmes avaient subi une cyberattaque en avril, permettant à un « acteur non autorisé » d’accéder au nom, à l’adresse, à l’adresse e-mail, au numéro de téléphone, à la date de naissance et au numéro d’identification délivré par le gouvernement, y compris les permis de conduire et les passeports.
Le géant des croisières a révélé que des pirates informatiques avaient eu accès à une partie limitée de ses systèmes informatiques après avoir manipulé ses employés via une attaque dite d’« ingénierie sociale », une tactique qui repose sur la fraude plutôt que sur des vulnérabilités techniques.
Carnival a déclaré que son équipe de sécurité avait découvert l’intrusion le 14 avril et avait immédiatement pris des mesures pour contenir la violation tout en lançant une enquête avec des experts externes en cybersécurité.
En quelques jours, les enquêteurs ont déterminé que les données des passagers avaient été consultées, notamment leurs noms, adresses personnelles, adresses e-mail, numéros de téléphone, dates de naissance et numéros d’identification délivrés par le gouvernement, tels que les permis de conduire et les passeports.
Bien que Carnival n’ait pas divulgué le nombre total de clients concernés dans son annonce publique, un dossier déposé auprès du bureau du procureur général du Maine a révélé que 5 995 277 personnes pourraient avoir été touchées.
La société a commencé à informer les passagers concernés et offre deux ans de services gratuits de surveillance du crédit et de protection de l’identité via TransUnion.
Dans un communiqué, Carnival a déclaré qu’elle « regrette profondément cet incident et toute inquiétude qu’il pourrait susciter », ajoutant qu’elle a mis en œuvre des mesures de sécurité et des outils de surveillance supplémentaires pour prévenir de futures attaques.
Carnival Cruise Line a annoncé le mois dernier que ses systèmes avaient subi une cyberattaque en avril, permettant à un « acteur non autorisé » d’accéder au nom, à l’adresse, à l’adresse e-mail, au numéro de téléphone, à la date de naissance et au numéro d’identification délivré par le gouvernement, y compris les permis de conduire et les passeports.
“Carnival a pris des mesures supplémentaires pour mettre en place des mesures de protection supplémentaires sur nos systèmes, notamment en mettant en œuvre des contrôles et une surveillance de sécurité renforcés”, a indiqué la société.
“Nous restons déterminés à procéder à des examens continus de la sécurité des informations afin de renforcer nos programmes et contrôles de sécurité et de confidentialité.”
Carnival Cruise Line a été confrontée à une série d’incidents de cybersécurité ces dernières années, avec des violations exposant des informations sensibles appartenant aux clients et aux employés et soulevant des questions sur la sécurité de ses systèmes.
Le premier incident majeur est survenu en mars 2020 lorsque Carnival Corporation, la société mère, a révélé que des acteurs non autorisés avaient eu accès aux systèmes de l’entreprise des mois plus tôt, en mai 2019.
Selon l’entreprise, la violation a affecté les systèmes connectés à plusieurs marques de croisière et exposé les données personnelles des clients et des employés.
Les données compromises incluraient des noms, des numéros de passeport, des informations de santé et d’autres détails sensibles.
Bien que Carnival ait déclaré avoir identifié l’intrusion en mai 2019, la société n’a divulgué publiquement l’incident que près d’un an plus tard.
Quelques mois seulement après cette révélation, Carnival a été touché par une autre cyberattaque.
Le 15 août 2020, la société a révélé une attaque de ransomware affectant l’une de ses marques de croisières.
Les cybercriminels ont infiltré certaines parties du réseau informatique de Carnival, crypté des fichiers et volé des données sur les systèmes de l’entreprise.
Carnival avait alors prévenu que l’attaque pourrait affecter les invités, les employés et les entreprises.
La gravité de l’incident a incité l’entreprise à déposer un rapport auprès de la Securities and Exchange Commission, informant les investisseurs que des pirates informatiques avaient obtenu un accès non autorisé à certaines parties de son réseau.
Les conséquences de l’attaque du ransomware ont révélé que les données personnelles étaient une fois de plus compromises.
Carnival a confirmé plus tard que les documents divulgués contenaient des noms, des adresses, des dates de naissance et des numéros de passeport. Dans certains cas, la violation concernait également les numéros de sécurité sociale et les informations de santé des employés, soulevant des inquiétudes quant au risque d’usurpation d’identité et de fraude.
Les chercheurs en sécurité ont noté que les incidents de 2020 n’étaient pas des événements isolés.
Entre 2019 et 2021, Carnival a découvert plusieurs problèmes de cybersécurité, notamment deux attaques de ransomwares, des compromissions liées au phishing et des infections de logiciels malveillants qui ont entraîné un accès non autorisé aux informations des clients et des employés.
Ces incidents répétés placent le géant des croisières parmi un nombre croissant de grandes entreprises qui luttent pour se défendre contre des cybermenaces de plus en plus sophistiquées.
Les défis de cybersécurité de l’entreprise ont refait surface en 2026, devenant l’une des plus grandes violations de données de son histoire.
Carnival a révélé que l’attaquant avait utilisé des techniques d’ingénierie sociale pour inciter un employé à lui donner accès aux systèmes internes.
Contrairement aux attaques qui exploitent les vulnérabilités des logiciels, l’ingénierie sociale repose sur la manipulation des personnes pour leur donner accès à des informations sensibles ou les révéler.
La violation a finalement touché près de six millions de personnes, ce qui en fait l’un des incidents de cybersécurité les plus importants jamais signalés par l’entreprise.
Selon Carnival, les informations exposées comprenaient des noms, des coordonnées, des dates de naissance et des numéros d’identification émis par le gouvernement, tels que des informations sur le permis de conduire et le passeport.
L’incident a mis en évidence la menace croissante que représentent les cyberattaques centrées sur l’humain, qui sont devenues plus courantes car les pirates ciblent les employés plutôt que de tenter de pénétrer les défenses techniques.
