10 millions de personnes, c'est le nombre d'usagers des transports londoniens dont les données personnelles ont fuité suite à une cyberattaque survenue en août-septembre 2024. Pour vous donner une idée : c'est comme si tous les habitants des Hauts-de-France et de la Normandie réunis voyaient leurs noms, adresses, emails et numéros de téléphone se retrouver entre de mauvaises mains.
Et le pire ? Transport for London (TfL), l'opérateur londonien, avait initialement parlé de 5 000 victimes... La BBC a révélé l'ampleur réelle de la fuite après avoir reçu une copie complète de la base de données volée. Entre ce qu'on nous dit et la réalité, il y a parfois un gouffre.
Pourquoi les transports urbains sont une mine d'or de données ?
Si vous vivez dans une grande ville, vous utilisez probablement une carte de transport : Oyster à Londres, Navigo à Paris, Pass Pass dans les Hauts-de-France... Ces systèmes centralisent énormément d'informations : votre identité, vos coordonnées, vos trajets quotidiens, parfois même vos données bancaires pour les recharges automatiques.
À Londres, l'Oyster Card et son équivalent numérique sont utilisés par des millions de personnes chaque jour. Pour fonctionner, TfL stocke des profils clients complets. Et c'est exactement ce genre de base de données massive qui attire les cybercriminels : un seul piratage, des millions de victimes potentielles.
Ce qui s'est passé..
L'attaque est attribuée à Scattered Spider, un groupe de pirates anglophones spécialisés dans l'ingénierie sociale = manipuler des humains pour obtenir des accès, plutôt que forcer des serveurs. Deux adolescents britanniques ont été mis en cause et seront jugés en juin 2026.
La base de données volée contient 15 colonnes d'informations réparties sur des millions de lignes : noms, adresses email, numéros de téléphone fixe et mobile, adresses postales. Pour environ 5 000 personnes, les pirates ont également accédé aux données bancaires liées aux remboursements de carte Oyster.
Le coût total de l'incident s'élèverait à 45 millions d'euros. Pas seulement en réparation technique, mais aussi en communication, gestion de crise, et perte de confiance.
Pourquoi TfL a minimisé l'ampleur
TfL affirme avoir notifié 7,1 millions de clients par email (taux d'ouverture : 58 %). Mais entre "notifier" et "admettre publiquement l'ampleur dès le départ", il y a une différence. La transparence en cas de fuite de données reste un point faible, même chez des organisations publiques. Le régulateur britannique (ICO) a clos son enquête sans sanction, estimant la réponse "proportionnée"... Je vous laisse juger par vous-même, moi je n'en pense pas moins !