La compagnie de croisière la plus populaire au monde a subi une violation de données majeure, exposant potentiellement les informations personnelles de millions de passagers.
Carnival Cruise Line a annoncé en avril que ses systèmes avaient subi une cyberattaque qui a permis à des « acteurs non autorisés » d’accéder aux noms, adresses, adresses e-mail, numéros de téléphone, dates de naissance et numéros d’identification délivrés par le gouvernement, notamment les permis de conduire et les passeports.
Le géant des croisières a déclaré que les pirates avaient pu accéder à des parties restreintes de ses systèmes informatiques après avoir manipulé le personnel au moyen d’attaques dites d’« ingénierie sociale », une tactique qui repose sur la tromperie plutôt que sur des vulnérabilités techniques.
Carnival a déclaré que son équipe de sécurité avait détecté l’intrusion le 14 avril et avait immédiatement pris des mesures pour contenir la violation et avait lancé une enquête avec des experts externes en cybersécurité.
En quelques jours, les enquêteurs ont confirmé avoir accédé aux données des passagers, notamment leurs noms, adresses personnelles, adresses e-mail, numéros de téléphone, dates de naissance et numéros d’identification délivrés par le gouvernement, tels que les permis de conduire et les passeports.
Carnival n’a pas divulgué le nombre total de clients concernés dans sa déclaration publique, mais a déclaré que 5 995 277 personnes pourraient avoir été touchées, selon des documents déposés auprès du bureau du procureur général du Maine.
La société a commencé à informer les passagers concernés et offre deux ans de services gratuits de surveillance du crédit et de protection de l’identité via TransUnion.
“Nous regrettons profondément cet incident et toutes les inquiétudes qu’il pourrait susciter”, a déclaré Carnival dans un communiqué, ajoutant avoir mis en place des mesures de sécurité et des outils de surveillance supplémentaires pour prévenir de futures attaques.
Carnival Cruise Line a annoncé en avril que ses systèmes avaient subi une cyberattaque qui a permis à des « acteurs non autorisés » d’accéder aux noms, adresses, adresses e-mail, numéros de téléphone, dates de naissance et numéros d’identification délivrés par le gouvernement, notamment les permis de conduire et les passeports.
“Carnival a pris des mesures supplémentaires pour déployer des mesures de protection supplémentaires sur ses systèmes, notamment en mettant en œuvre des contrôles de sécurité et de surveillance améliorés”, a indiqué la société.
« Nous nous engageons à procéder à des examens continus de la sécurité des informations afin de renforcer nos programmes et contrôles de sécurité et de confidentialité. »
Carnival Cruise Line a été confrontée à une série d’incidents de cybersécurité au cours des dernières années, avec des violations exposant des informations sensibles sur ses clients et ses employés et soulevant des questions sur la sécurité de ses systèmes.
Le premier incident majeur s’est produit en mars 2020, lorsque la société mère Carnival Corporation a révélé que des acteurs non autorisés avaient accédé aux systèmes de l’entreprise quelques mois plus tôt, en mai 2019.
Selon l’entreprise, la violation a affecté les systèmes associés à plusieurs marques de croisière et exposé les informations personnelles des clients et des employés.
Les données compromises incluraient des noms, des numéros de passeport, des informations de santé et d’autres détails sensibles.
Carnival a déclaré avoir confirmé la violation en mai 2019, mais la société n’a divulgué publiquement l’incident que près d’un an plus tard.
Quelques mois seulement après que cela ait été rendu public, Carnival a subi une autre cyberattaque.
Le 15 août 2020, l’entreprise a détecté une attaque de ransomware touchant l’une de ses marques de croisières.
Les cybercriminels ont infiltré certaines parties du réseau informatique de Carnival, chiffrant des fichiers et volant des données sur les systèmes de l’entreprise.
Carnival avait alors averti que l’attaque pourrait avoir un impact sur les invités, le personnel et les opérations commerciales.
En raison de la gravité de l’incident, la société a déposé un rapport auprès de la Securities and Exchange Commission informant les investisseurs que des pirates avaient obtenu un accès non autorisé à certaines parties de son réseau.
Il a été révélé que des informations personnelles avaient de nouveau été divulguées à la suite d’une attaque de ransomware.
Carnival a confirmé plus tard que les documents exposés comprenaient des noms, des adresses, des dates de naissance et des numéros de passeport. Dans certains cas, les violations concernaient également les numéros de sécurité sociale et les informations de santé des employés, soulevant des inquiétudes quant au risque d’usurpation d’identité et de fraude.
Les chercheurs en sécurité ont noté que l’incident de 2020 n’était pas un incident isolé.
Entre 2019 et 2021, Carnival a révélé divers problèmes de cybersécurité, notamment deux attaques de ransomware, des compromissions liées au phishing et une infection par un logiciel malveillant qui a entraîné un accès non autorisé aux informations des clients et des employés.
Les incidents répétés ont fait du géant des croisières l’une des nombreuses grandes entreprises qui luttent pour se défendre contre des cybermenaces de plus en plus sophistiquées.
Les problèmes de cybersécurité de l’entreprise ont réapparu en 2026, lorsqu’elle a été victime de l’une des plus grandes violations de données de l’histoire de l’entreprise.
Carnival a déclaré que les attaquants ont utilisé des techniques d’ingénierie sociale pour inciter les employés à leur donner accès aux systèmes internes.
Contrairement aux attaques qui exploitent les vulnérabilités des logiciels, l’ingénierie sociale repose sur la manipulation des personnes pour leur donner accès ou révéler des informations sensibles.
La violation a finalement touché près de 6 millions de personnes, ce qui en fait l’un des incidents de cybersécurité les plus importants signalés par l’entreprise.
Selon Carnival, les informations exposées comprenaient des numéros d’identification émis par le gouvernement, notamment le nom, les coordonnées, la date de naissance, le permis de conduire et les informations sur le passeport.
L’incident a mis en évidence la menace croissante à mesure que les cyberattaques centrées sur l’humain deviennent plus courantes, les pirates ciblant les employés plutôt que de briser les défenses techniques.
