Attacks Blog

L'attaque contre British Airways en 2018 - L'histoire complète

L'attaque contre British Airways en 2018 a touché 429 612 personnes. Découvrez pourquoi cside a racheté le domaine de l'attaquant pour en faire une ressource pédagogique sur la sécurité web moderne.

Dec 15, 2025 • 9 min read

Simon Wijckmans Founder & CEO

L'attaque contre British Airways en 2018 - Analyse complète de l'attaque - cside

En résumé

En 2018, en obtenant les identifiants d'un sous-traitant de British Airways, des acteurs malveillants ont pu modifier un script exécuté côté client pour exfiltrer des données de carte de crédit vers un endpoint qu'ils contrôlaient — ce domaine est baways[.]com, propriété de cside depuis 2024.
Sur le domaine baways[.]com, vous pouvez lire une chronologie objective et détaillée des événements et de leurs suites.
À la suite de l'incident, l'ICO avait initialement prévu d'infliger à British Airways une amende de 183 millions de livres sterling, qui a ensuite été réduite à 20 millions de livres sterling. À l'époque, British Airways traversait des difficultés liées à la Covid-19, ce qui a peut-être contribué à la réduction de l'amende.
À la suite de cet incident et de nombreuses attaques similaires, le PCI DSS (Payment Card Industry Data Security Standard) a mis à jour ses exigences pour inclure la surveillance, la sécurisation et la documentation des scripts côté client.
Aujourd'hui, davantage de solutions existent sur le marché pour prévenir ce type d'incident, mais la qualité des approches varie considérablement.

Pourquoi nous avons acheté baways[.]com

Parce que nous le pouvions. Étonnamment, alors que de nombreux éditeurs évoquaient constamment cette attaque, le domaine utilisé lors de celle-ci a expiré et était disponible à la vente sur le marché public au tarif standard de l'ICANN, soit 10,44 $ par an.

Au fil des années, et à travers les pages marketing des éditeurs, ce qui était écrit ne correspondait plus aux faits. Nous avons donc décidé de rassembler une dernière fois les preuves, les documents judiciaires, les communiqués de presse et les pages archivées, pour les publier dans un rapport consolidé. Sur le domaine même qui avait été utilisé lors de l'attaque.

Nous avons même fait appel à un ancien journaliste pour nous aider dans les recherches.

Chronologie de l'attaque contre British Airways :

22 juin 2018 : Un attaquant pénètre dans le réseau de British Airways en utilisant des identifiants volés appartenant à un employé de Swissport (un prestataire de services cargo). Le compte ne disposait d'aucune authentification multifacteur.

23-26 juin 2018 : L'attaquant explore le réseau. Il fait une découverte alarmante : des identifiants d'administrateur de domaine stockés en clair. Simplement dans un fichier. Non chiffré.

26 juillet 2018 : L'attaquant découvre des fichiers journaux contenant des données de carte de paiement. Également en clair. Ceux-ci provenaient d'une fonctionnalité de test qui n'aurait jamais dû être mise en production.

21 août - 5 septembre 2018 : L'attaque est lancée. Pendant 16 jours, chaque client ayant saisi ses données de paiement sur le site de BA a vu ses données copiées et envoyées vers baways[.]com.

5 septembre 2018 : British Airways est alerté par un tiers. L'attaque est stoppée en 90 minutes.

Comment l'attaque contre British Airways a fonctionné

L'attaquant a injecté du code malveillant dans Modernizr, une bibliothèque JavaScript courante qui aide les sites web à fonctionner sur différents navigateurs. British Airways servait cette version compromise à l'ensemble de ses clients.

Le script malveillant attendait que les clients cliquent sur le bouton de confirmation du paiement
Il récupérait toutes les données de paiement et personnelles du formulaire
Il envoyait ces données vers baways[.]com (qui semblait légitime, BA utilisant « BA » dans ses communications marketing)
L'ensemble se déroulait silencieusement en arrière-plan
Le processus de paiement normal se poursuivait sans aucun problème

Pourquoi l'attaque contre British Airways n'a pas été détectée par la sécurité réseau

L'attaque s'est déroulée sans laisser de traces visibles. La seule façon de détecter une anomalie était d'observer les outils de développement du navigateur, dans l'onglet réseau, au moment où les données étaient exfiltrées.

Cette attaque a également touché l'application mobile, qui utilisait une webview de l'application web. La webview elle-même ne disposait d'aucun tableau de bord d'outils de développement, si bien que dans l'application mobile, absolument aucune trace visible n'était laissée.

Il aurait été extrêmement difficile, voire impossible, pour les clients de détecter le vol de leurs données.

Analyse de la décision de sanction pécuniaire de l'ICO

Les dommages

Dans le cadre des procédures judiciaires, l'ICO (Information Commissioner's Office) a publié les chiffres complets.

Catégorie	Nombre de personnes touchées
Données de carte complètes exposées	244 000
Carte + CVV exposés	77 000
Numéros de carte uniquement	108 000
Comptes BA Executive Club	612
Total des personnes touchées	429 612

L'ICO a initialement proposé une amende de 183,39 millions de livres sterling. Après négociations, la procédure contradictoire et les difficultés financières imposées à British Airways par la COVID-19, l'amende a été réduite à 20 millions de livres sterling.

British Airways a subi des pertes considérables et le PDG de l'époque a été contraint de présenter des excuses publiques, en assurant que les clients touchés seraient indemnisés.

L'amende n'est pas le seul impact financier. Plusieurs recours collectifs ont suivi ; selon des sources publiques, les dommages sont estimés entre 2 000 et 6 000 livres sterling par plaignant. Avec plus de 16 000 victimes représentées dans un seul recours, l'impact financier total a vraisemblablement dépassé l'amende réglementaire, sans même tenir compte des répercussions commerciales liées à l'atteinte à la réputation de la marque British Airways.

Pourquoi cet incident reste pertinent en 2025

Le problème n'a fait que s'aggraver. La posture de sécurité des applications web est centrée sur les actions visant l'infrastructure web. De nouveaux efforts sont consacrés à la surveillance des dépendances open source statiques et à l'adoption de l'IA dans les entreprises. Mais les développeurs web et les équipes sécurité ne savent toujours pas, et ne disposent pas d'outils fiables pour vérifier, comment leurs applications web et leurs dépendances — outils marketing et packages open source inclus — se comportent dans les navigateurs.

La surveillance à l'exécution côté client aurait empêché l'attaque contre British Airways

Il s'agit d'un vecteur d'attaque hautement dynamique, et la seule vraie solution à cette menace est une analyse active à l'exécution. La pression réglementaire en matière de conformité a poussé certaines entreprises à adopter des outils de conformité superficiels reposant sur des scanners/crawlers ou des approches sans agent. Ces approches sont facilement contournées par l'attaquant, qui n'a qu'à ne pas servir les charges utiles malveillantes à ces outils.

La sécurité côté client à l'exécution en temps réel n'est toujours pas une priorité élevée. Les acteurs malveillants en sont conscients, et des attaques côté client d'une complexité significative se produisent quotidiennement. Parmi les cas récents notables, on peut citer l'attaque Bybit, l'attaque CoinMarketCap, et l'attaque Polyfill de 2024 qui a ciblé plus de 490 000 sites web en utilisant une approche similaire à celle de Modernizr.

La chaîne d'approvisionnement côté client présente des défis supplémentaires significatifs. Chaque requête vers un serveur tiers peut générer une réponse dynamique et différente. L'analyse en continu est coûteuse, mais c'est la seule façon de gérer la posture de sécurité.

Ce qui a changé après l'incident British Airways

À l'époque de l'incident British Airways, de nombreux incidents similaires se sont produits, comme la violation Ticketmaster et l'attaque Newegg. Mastercard, Visa et American Express ont révélé que la majorité des données de carte de crédit sont aujourd'hui volées via des scripts côté client malveillants. En réponse, le cadre de conformité PCI DSS a été mis à jour pour intégrer la sécurité côté client à travers 2 nouvelles exigences : 6.4.3 et 11.6.1. Nous avons rédigé un article de blog détaillé à ce sujet.

À la suite de la mise à jour du PCI DSS, d'autres référentiels sectoriels ont clarifié leurs exigences en matière de sécurité de la chaîne d'approvisionnement pour y inclure les dépendances exécutées côté client. Des incidents comme la fuite de données Kaiser Permanente ont déclenché des mises à jour de l'HIPAA.

L'adoption de solutions de sécurité à l'exécution côté client pour surveiller les actions des sites web devient de plus en plus incontournable. Cependant, chaque exigence de conformité nécessite ses propres preuves formatées : certaines davantage axées sur l'utilisation des cookies, d'autres sur les flux de données. Avec une solution comme cside, cela devient extrêmement simple.

Comment cside aide

cside propose une approche hautement flexible de la sécurité côté client. Que nous surveillions les comportements des scripts côté client et les analysions plus en profondeur via le reporting côté client sur notre moteur, cside dispose d'une vision complète. Il analyse le code des dépendances servies en temps réel, vous aidant à prévenir les comportements indésirables avant qu'ils n'aient un impact majeur sur votre activité.

Notre approche nous permet non seulement de détecter les attaques avancées et hautement ciblées et d'émettre des alertes, mais aussi de bloquer les attaques avant qu'elles n'atteignent le navigateur de l'utilisateur. Elle coche également les cases de plusieurs référentiels de conformité, notamment PCI DSS 4.0.1, HIPAA, RGPD, CPRA… Nous fournissons même une forensique approfondie, y compris lorsqu'un attaquant tente de contourner nos détections. Nous stockons également des données sur les attaques manquées afin d'améliorer continuellement nos capacités de détection. Vous disposez ainsi du contrôle dont vous avez besoin, dans un format facile à utiliser. Conscients des contraintes des navigateurs, nous sommes convaincus qu'il s'agit de la méthode la plus sécurisée pour surveiller et protéger vos dépendances sur l'ensemble de votre site web. Nous évoluons dans le domaine de la sécurité côté client depuis des années, bien avant la création de cside. Nous connaissons les limites des navigateurs et investissons du temps à contribuer aux organismes de normalisation pour améliorer nativement les capacités de sécurité et les rendre plus faciles à utiliser.

Inscrivez-vous ou réservez une démo pour commencer.

Par où commencer

Si cette histoire vous intéresse, consultez le micro-site interactif sur baways[.]com. Nous avons fait tout notre possible pour vous présenter cette histoire dans un format attrayant — nous espérons qu'elle vous plaira.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

La violation de données British Airways est une attaque de skimming de cartes de paiement à grande échelle, exécutée dans le navigateur des visiteurs en 2018. Les attaquants ont injecté du JavaScript malveillant dans le site web et l'application mobile de British Airways, afin de capturer les données de carte de paiement directement depuis les champs de saisie. L'attaque a été active pendant 16 jours et 429 612 enregistrements de paiement clients ont été compromis, sans aucune perturbation visible du fonctionnement normal du site. Le Bureau du Commissaire à l'information du Royaume-Uni a initialement proposé une amende de 183 millions de livres sterling, qui a ensuite été réduite à 20 millions de livres sterling.

cside a acquis baways[.]com sur le marché public pour 10 $ après l'expiration du domaine à la suite de l'attaque. Nous l'avons acheté pour le reconvertir en ressource pédagogique. Le site héberge désormais une analyse technique détaillée de la violation afin d'aider d'autres entreprises à comprendre et à se protéger contre des attaques similaires. Le fait que nous ayons pu acheter un domaine précédemment utilisé dans une cyberattaque majeure sur un registre public illustre les risques persistants liés aux domaines expirés. Cela montre aussi à quel point cside s'implique dans ces incidents comme aucun autre acteur du marché : nous tenons à prévenir toute récidive et allons bien au-delà des approches habituelles. Nos efforts ne se limitent pas aux discours et aux supports marketing.

Les attaquants ont utilisé des identifiants volés appartenant à un sous-traitant tiers appelé Swissport, un prestataire de services cargo. Le compte compromis ne disposait pas d'authentification multifacteur. Une fois à l'intérieur, les attaquants ont découvert des identifiants d'administrateur de domaine stockés en clair dans un fichier non chiffré, ce qui leur a permis de modifier des fichiers sur le serveur web et d'injecter du code malveillant dans le site de British Airways.

La violation a exposé l'intégralité des données de carte de paiement, notamment :

• Les numéros CVV de 244 000 personnes,

• Les données de carte et CVV de 77 000 personnes,

• Et les numéros de carte uniquement pour 108 000 personnes.

Par ailleurs, les noms d'utilisateur et mots de passe des comptes employés et administrateurs de BA ont été compromis, ainsi que les noms d'utilisateur et codes PIN de jusqu'à 612 comptes BA Executive Club. Au total, environ 429 612 personnes ont été touchées.

Le Bureau du Commissaire à l'information du Royaume-Uni a initialement proposé une amende de 183,39 millions de livres sterling, la plus importante jamais proposée au titre du RGPD à l'époque. Après négociations et prise en compte de l'impact financier de la COVID-19 sur le secteur aérien, l'amende finale a été réduite à 20 millions de livres sterling. British Airways a également fait face à plusieurs recours collectifs, avec des dommages estimés entre 2 000 et 6 000 livres sterling par plaignant.

Magecart est un terme générique désignant des groupes cybercriminels spécialisés dans les attaques de skimming de cartes via le web. Le nom provient d'attaques ciblant le framework e-commerce Magento. En exploitant des vulnérabilités côté serveur, des acteurs malveillants injectaient du code malveillant dans des sites e-commerce pour voler les données de carte de paiement directement depuis le navigateur des clients. La violation British Airways est attribuée aux techniques Magecart. Le même groupe est responsable d'attaques similaires contre Ticketmaster, Newegg et des centaines d'autres sites e-commerce durant la même période.

Les entreprises devraient examiner de manière proactive tous les scripts tiers s'exécutant sur leurs sites web et supprimer ceux qui ne sont pas indispensables. Les équipes marketing ont souvent la possibilité d'ajouter des scripts au site sans que l'équipe sécurité en soit informée, ce qui peut engendrer des incidents graves. Les pages de paiement doivent être réduites au strict minimum en termes de scripts. La surveillance continue du comportement des scripts est essentielle, car les audits de sécurité périodiques ne suffisent pas pour du code qui peut changer à tout moment et se comporter différemment selon les continents, les navigateurs ou l'heure de la journée. L'utilisation d'une solution managée qui surveille en continu les scripts tiers permet de détecter les modifications malveillantes avant qu'elles n'atteignent vos clients. PCI DSS 4.0.1 impose désormais ce type de contrôles dans le cadre des exigences 6.4.3 et 11.6.1.

PCI DSS 4.0.1 est la dernière version du standard de sécurité des données de l'industrie des cartes de paiement. Ce standard s'applique à toute entité qui accepte, traite ou stocke des informations de carte de paiement, que ce soit dans le monde physique ou en ligne. Les nouvelles exigences ciblent spécifiquement les attaques côté client comme celle utilisée contre British Airways. La section 6.4.3 impose de maintenir un inventaire de tous les scripts s'exécutant sur les pages de paiement. La section 11.6.1 exige une surveillance continue et une détection des altérations pour les scripts, et non de simples audits périodiques. Ces exigences imposent en substance la présence d'un gardien de sécurité numérique surveillant les pages de paiement en permanence.

Oui. Le vecteur d'attaque qui a compromis British Airways reste largement sans protection dans la plupart des organisations. Si les entreprises ont renforcé leurs défenses contre les attaques entrantes grâce aux pare-feux et aux systèmes de détection d'intrusion, les scripts tiers s'exécutant dans le navigateur des clients demeurent un angle mort. Des attaques similaires à celle de British Airways se produisent régulièrement. Dans un cas documenté, 17 000 sites web ont été compromis via une seule faille. L'attaque Polyfill de 2024 a ciblé plus de 490 000 sites web en utilisant la même approche générale. Et plus récemment, on observe une recrudescence des attaques ciblées côté client, comme celle qui a récemment touché CoinMarketCap en 2025.

cside surveille, optimise et sécurise tous les scripts tiers s'exécutant sur votre site web en s'interposant entre vos utilisateurs et les services tiers. Si un script tiers délivre une charge utile différente ou malveillante, cside le détecte en temps réel. Contrairement aux outils basés sur des scanners qui ne capturent que des instantanés périodiques, cside analyse les scripts au moment de leur exécution pour de vrais utilisateurs, ce qui permet de détecter les attaques ciblées qui échappent aux outils de sécurité traditionnels. cside fournit également une forensique complète des charges utiles et aide à satisfaire les exigences de conformité PCI DSS 4.0.1, des réglementations américaines au niveau des États et des exigences mondiales en matière de confidentialité.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les attaques de scripts tiers contre les plateformes iGaming

Attaques de scripts tiers sur les plateformes iGaming en 2026 : la nouvelle surface d'attaque que les opérateurs négligent

JavaScript tiers est la principale surface d'attaque non surveillée en iGaming. Les sept classes d'attaque et pourquoi les outils les manquent.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels non autorisés dans les jeux et la responsabilité RGPD

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Comment Bloquer Bytespider (le Crawler IA de TikTok)

Bytespider explore votre site pour les systèmes IA de Bytedance. Découvrez comment le bloquer via robots.txt et plages d'IP, et les enjeux de souveraineté des données.

Couverture sombre du blog montrant trois méthodes d'attaque de scripts malveillants : redirections déclenchées depuis le navigateur, containers GTM fantômes avec tags malveillants et payloads mobiles géociblés

Comment les scripts malveillants détournent les parcours des joueurs de casino

Des scripts injectés redirigent les joueurs de casino avant le lobby. Les outils réseau ne les voient pas. Voici comment la détection doit fonctionner.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la sécurité des scripts pour les opérateurs de jeux en APAC

Sécurité des scripts côté client pour les opérateurs de jeux d'argent en ligne en APAC

Comment les opérateurs de jeux d'argent APAC (Japon, Singapour, Philippines, Australie) surveillent les scripts tiers sur des sessions réelles.

Comment Bloquer Amazon Buy for Me sur Votre Site Web

Amazon Buy for Me fait ses achats sur votre site pour les membres Prime. Découvrez comment il collecte vos données de prix et de produits et comment la détection au niveau du navigateur vous redonne le contrôle.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les scripts affiliés compromis qui volent les revenus des casinos

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Couverture sombre du blog montrant trois vecteurs d'attaque par extension de navigateur : redirections vers des clones de phishing, vol de token de session et réécriture des champs de paiement dans le DOM

Comment les extensions de navigateur attaquent les joueurs de casino en ligne : ce que les opérateurs peuvent faire

Les extensions de navigateur volent des tokens de session et détournent des paiements sur des sites de casino. Voici comment les détecter.

Comment Bloquer la Création de Faux Comptes Alimentée par l'IA

Les agents IA créent de faux comptes avec un comportement humain qui déjoue les CAPTCHA. Découvrez les signaux navigateur qui révèlent les inscriptions automatisées.

Comment Bloquer CCBot (le Robot d'Indexation IA de Common Crawl)

CCBot alimente les jeux de données Common Crawl utilisés pour entraîner GPT-3, BLOOM, LLaMA et bien d'autres modèles d'IA. Découvrez comment le bloquer et ce que le blocage fait réellement.