Air France-KLM : fuite clients via plateforme tierce

En août 2025, le groupe Air France-KLM a révélé une fuite de données affectant des clients de ses deux compagnies, Air France et KLM. Selon les communications de l’entreprise relayées par la presse spécialisée, un accès non autorisé à une plateforme externe utilisée pour le service client a été détecté le 7 août 2025, puis interrompu par les équipes de sécurité. Les compagnies ont indiqué que leurs systèmes internes n’avaient pas été touchés.

Les données concernées comprennent, selon les sources, les nom et prénom, les coordonnées (adresse e-mail, numéro de téléphone), l’objet des demandes adressées au service client ainsi que les numéros de fidélité Flying Blue. Air France-KLM précise que les mots de passe, les détails de voyage, le solde de miles Flying Blue, les informations de passeport et les données de carte bancaire n’auraient pas été affectés. Le nombre exact de personnes concernées n’a pas été communiqué.

L’incident est attribué, selon les analyses des sources de presse, à la campagne du groupe ShinyHunters visant des instances Salesforce de service client, via des techniques d’ingénierie sociale (vishing) plutôt que par l’exploitation d’une faille logicielle, une allégation que la compagnie n’a pas confirmée publiquement, déclinant de nommer la plateforme tierce concernée. Cette campagne a également touché d’autres grandes organisations (Qantas, Adidas, Allianz Life, plusieurs marques du groupe LVMH).

Les clients européens étant concernés, les compagnies ont notifié leurs autorités de contrôle respectives : KLM auprès de l’autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) et Air France auprès de la CNIL. Les clients potentiellement touchés ont été informés et invités à se montrer vigilants face aux tentatives d’hameçonnage par e-mail ou par téléphone.