Une enquête policière est lancée suite à plusieurs affaires concernant le site NDC d'Air France - Depositphotos @Julia_Tim
Le plus important ce n'est pas la chute, c'est l'atterrissage.
Dans le monde, de la cybersécurité et du digital, cette phrase du film La Haine colle assez bien avec notre sujet.
En effet, personne n'est en mesure d'éviter un piratage, pas même le FBI, l'ONU ou l'Elysée. La seule chose à laquelle il faut veiller : c'est limiter sa propagation et son impact.
L'enjeu est clair : faire en sorte que les escrocs repartent avec le moins de données, d'argent ou d'informations possibles.
Surtout qu'après les compagnies aériennes, le BSP de IATA, c'est à Air France de connaître quelques remous.
"Vous mettez le doigt sur un autre sujet NDC," nous prévient un observateur avisé.
Cette enquête a débuté, il y a plusieurs mois, quand une agence de voyages a vu plusieurs dizaines de milliers d'euros indûment débités de son compte bancaire.
Une personne malveillante a réussi à émettre de nombreux billets via la plateforme NDC d'Air France, sur le compte de l'agence.
Depuis, les pirates sévissent toujours. "Nous voulons monter un collectif de toutes les agences victimes du NDC d'Air France pour attaquer la compagnie," s'emporte une gérante ayant perdu plus de 50 000 euros en novembre 2022.
Dans le monde, de la cybersécurité et du digital, cette phrase du film La Haine colle assez bien avec notre sujet.
En effet, personne n'est en mesure d'éviter un piratage, pas même le FBI, l'ONU ou l'Elysée. La seule chose à laquelle il faut veiller : c'est limiter sa propagation et son impact.
L'enjeu est clair : faire en sorte que les escrocs repartent avec le moins de données, d'argent ou d'informations possibles.
Surtout qu'après les compagnies aériennes, le BSP de IATA, c'est à Air France de connaître quelques remous.
"Vous mettez le doigt sur un autre sujet NDC," nous prévient un observateur avisé.
Cette enquête a débuté, il y a plusieurs mois, quand une agence de voyages a vu plusieurs dizaines de milliers d'euros indûment débités de son compte bancaire.
Une personne malveillante a réussi à émettre de nombreux billets via la plateforme NDC d'Air France, sur le compte de l'agence.
Depuis, les pirates sévissent toujours. "Nous voulons monter un collectif de toutes les agences victimes du NDC d'Air France pour attaquer la compagnie," s'emporte une gérante ayant perdu plus de 50 000 euros en novembre 2022.
Air France - NDC : L'histoire des piratages
Plusieurs cas du même type ont été portés à notre connaissance. L'un des dirigeants d'une agence piratée, nous révèle qu'une enquête de la gendarmerie a été ouverte.
"D'après un enquêteur en charge du dossier, nous serions un certain nombre dans ce cas," nous prévient ce professionnel.
Pour chacun des cas, la porte d'entrée est toujours la même : la plateforme Agent Connect d'Air France.
La page fournit des informations commerciales, techniques et réglementaires. Et depuis quelques mois, elle permet aussi de faire des réservations de billets via NDC.
Des commerciaux du transporteur arpentent la France pour faire la promotion du service. Avec comme argument d'éviter de payer la surcharge GDS.
"En septembre, nous avons reçu la visite d'un commercial qui nous a vanté les mérites de la nouvelle norme.
Nous n'étions pas forcément très intéressés, mais il nous a dit que cela ne coûtait rien et qu'il suffisait d'y aller quand nous en aurions besoin," poursuit-il.
Le lendemain, l'agence reçoit par mail un contrat de la part de la compagnie nationale. Quelques jours plus tard, le document est signé. Ne trouvant aucun intérêt à réserver des billets via NDC, la plateforme n'est finalement pas utilisée.
Les réservations du point de vente se poursuivent sur Amadeus.
Des semaines passent. Puis un matin, le responsable se rend compte en épluchant son BSP que des mouvements anormaux ont lieu. Des billets ont été émis avec des départs très proches en direction de destinations africaines pour plusieurs dizaines de milliers d'euros.
Les codes IATA ne sont pas ceux de l'agence. Voici quelques-uns d'entre eux : 20403950, 72491230, 20498881.
"Nous n'avions rentré aucune information. Nous ne sommes même jamais allés sur le site et dans l'onglet NDC. Nous avons un code Agent Connect, rien de plus.
Je ne sais pas par où sont passés les pirates, s'interroge le dirigeant, interloqué.
"D'après un enquêteur en charge du dossier, nous serions un certain nombre dans ce cas," nous prévient ce professionnel.
Pour chacun des cas, la porte d'entrée est toujours la même : la plateforme Agent Connect d'Air France.
La page fournit des informations commerciales, techniques et réglementaires. Et depuis quelques mois, elle permet aussi de faire des réservations de billets via NDC.
Des commerciaux du transporteur arpentent la France pour faire la promotion du service. Avec comme argument d'éviter de payer la surcharge GDS.
"En septembre, nous avons reçu la visite d'un commercial qui nous a vanté les mérites de la nouvelle norme.
Nous n'étions pas forcément très intéressés, mais il nous a dit que cela ne coûtait rien et qu'il suffisait d'y aller quand nous en aurions besoin," poursuit-il.
Le lendemain, l'agence reçoit par mail un contrat de la part de la compagnie nationale. Quelques jours plus tard, le document est signé. Ne trouvant aucun intérêt à réserver des billets via NDC, la plateforme n'est finalement pas utilisée.
Les réservations du point de vente se poursuivent sur Amadeus.
Des semaines passent. Puis un matin, le responsable se rend compte en épluchant son BSP que des mouvements anormaux ont lieu. Des billets ont été émis avec des départs très proches en direction de destinations africaines pour plusieurs dizaines de milliers d'euros.
Les codes IATA ne sont pas ceux de l'agence. Voici quelques-uns d'entre eux : 20403950, 72491230, 20498881.
"Nous n'avions rentré aucune information. Nous ne sommes même jamais allés sur le site et dans l'onglet NDC. Nous avons un code Agent Connect, rien de plus.
Je ne sais pas par où sont passés les pirates, s'interroge le dirigeant, interloqué.
NDC par Air France : A qui la faute ?
Dans cette mésaventure, nous n'avons qu'une version : celle du responsable de l'agence.
Mais un observateur de la sécurité informatique dans le secteur tourisme nous laisse entendre que, dans ce genre de dossier, les torts sont souvent partagés .
"Il ne faut jamais oublier que dans la plupart des cas, le ver est dans le fruit. De nos jours les codes de connexions sont très nombreux, car tous les sites en demandent. Ils trainent et sont communiqués à pas mal de personnes.
Après des failles, il y en a partout," nous prévient-t-il.
A mesure des appels passés, nous découvrons tout de même que les incidents en question vont bien au-delà de la négligence des professionnels ayant laissé trainer leur mot de passe.
Car, comment est-il possible de pouvoir réserver des billets sans aucun contrôle du responsable de l'agence ou des équipes de la compagnie aérienne ? Nous n'en savons rien, mais nous poursuivons notre enquête.
Plus au Nord, un autre gérant a connu la même mésaventure. Le montant est bien plus important que les précédents.
Les pirates utilisent la même porte d'entrée (Agent Connect) et utilisent le compte NDC du professionnel. Une fois introduits, ils modifient l'adresse mail du compte utilisateur et passent ensuite à la réservation sans que le dirigeant en soit informé.
Une fois la fraude découverte, il se tourne vers son assureur qui constate que les serveurs de l'entreprise n'ont pas été violés. Personne ne serait entré dans le système... la faille ne serait pas donc pas interne !
"Nous avions beaucoup travaillé notre cybersécurité, dernièrement.
Notre postulat de départ était que l'escroc avait trouvé le mail de notre collaborateur quelque part sur internet, puis réussi à craquer le code, pour enfin échanger notre mail avec le sien" témoigne ce patron préférant conserver l'anonymat.
Des investigations ont lieu pour mieux comprendre le fonctionnement de l'entourloupe.
A mesure que le responsable en apprend plus sur l'affaire il comprend que la faute ne revient sans doute pas à ses équipes et que le tort serait au mieux partagé et, au pire... imputable à une faille d'Air France.
Mais un observateur de la sécurité informatique dans le secteur tourisme nous laisse entendre que, dans ce genre de dossier, les torts sont souvent partagés .
"Il ne faut jamais oublier que dans la plupart des cas, le ver est dans le fruit. De nos jours les codes de connexions sont très nombreux, car tous les sites en demandent. Ils trainent et sont communiqués à pas mal de personnes.
Après des failles, il y en a partout," nous prévient-t-il.
A mesure des appels passés, nous découvrons tout de même que les incidents en question vont bien au-delà de la négligence des professionnels ayant laissé trainer leur mot de passe.
Car, comment est-il possible de pouvoir réserver des billets sans aucun contrôle du responsable de l'agence ou des équipes de la compagnie aérienne ? Nous n'en savons rien, mais nous poursuivons notre enquête.
Plus au Nord, un autre gérant a connu la même mésaventure. Le montant est bien plus important que les précédents.
Les pirates utilisent la même porte d'entrée (Agent Connect) et utilisent le compte NDC du professionnel. Une fois introduits, ils modifient l'adresse mail du compte utilisateur et passent ensuite à la réservation sans que le dirigeant en soit informé.
Une fois la fraude découverte, il se tourne vers son assureur qui constate que les serveurs de l'entreprise n'ont pas été violés. Personne ne serait entré dans le système... la faille ne serait pas donc pas interne !
"Nous avions beaucoup travaillé notre cybersécurité, dernièrement.
Notre postulat de départ était que l'escroc avait trouvé le mail de notre collaborateur quelque part sur internet, puis réussi à craquer le code, pour enfin échanger notre mail avec le sien" témoigne ce patron préférant conserver l'anonymat.
Des investigations ont lieu pour mieux comprendre le fonctionnement de l'entourloupe.
A mesure que le responsable en apprend plus sur l'affaire il comprend que la faute ne revient sans doute pas à ses équipes et que le tort serait au mieux partagé et, au pire... imputable à une faille d'Air France.
Air France : aucune sécurisation des connexions et des achats ?
Si tous les fils sont compliqués à démêler, il existe toutefois un point commun : le changement d'adresse du compte NDC dans Agent Connect.
"Le pompon dans cette affaire, c'est qu'il soit possible de modifier une autre adresse mail, sans même un lien avec le nom de l'agence et sans même informer une personne de la modification.
Les adresses email sont modifiables à l'envi et cela permet d'opérer des réservations sans que nous en soyons informés," prévient une des personnes lésées.
A l'heure du 3D secure, c'est sur ce point que les responsables incriminent la compagnie nationale.
La nouvelle directive DSP2 pour les achats en ligne prévoit une double vérification avec un code reçu sur un appareil que seul l'utilisateur possède et une caractéristique personnelle du client (empreinte digitale, reconnaissance vocale, ou faciale). Un schéma devenu obligatoire même pour une paire de collants ou une bouteille d'eau.
Les GDS ont un niveau de sécurisation élevé et il est relativement compliqué de se connecter en dehors de l'agence. En ce qui concerne NDC, ce n'est pas la même paire de manches. L'outil paraît beaucoup plus light à ce niveau.
Pour les agences contactées, c'est en regardant le BSP et voyant des vols avec des dates de départ très proches, qu'elles ont découvert le pot aux roses.
L'une d'entre elles dispose d'une alerte IATA quotidienne qui se déclenche dès que le seuil de dépense quotidien est dépassé. Sans surveillance du BSP et des billets émis, l'escroquerie peut durer plusieurs semaines.
"Le pompon dans cette affaire, c'est qu'il soit possible de modifier une autre adresse mail, sans même un lien avec le nom de l'agence et sans même informer une personne de la modification.
Les adresses email sont modifiables à l'envi et cela permet d'opérer des réservations sans que nous en soyons informés," prévient une des personnes lésées.
A l'heure du 3D secure, c'est sur ce point que les responsables incriminent la compagnie nationale.
La nouvelle directive DSP2 pour les achats en ligne prévoit une double vérification avec un code reçu sur un appareil que seul l'utilisateur possède et une caractéristique personnelle du client (empreinte digitale, reconnaissance vocale, ou faciale). Un schéma devenu obligatoire même pour une paire de collants ou une bouteille d'eau.
Les GDS ont un niveau de sécurisation élevé et il est relativement compliqué de se connecter en dehors de l'agence. En ce qui concerne NDC, ce n'est pas la même paire de manches. L'outil paraît beaucoup plus light à ce niveau.
Pour les agences contactées, c'est en regardant le BSP et voyant des vols avec des dates de départ très proches, qu'elles ont découvert le pot aux roses.
L'une d'entre elles dispose d'une alerte IATA quotidienne qui se déclenche dès que le seuil de dépense quotidien est dépassé. Sans surveillance du BSP et des billets émis, l'escroquerie peut durer plusieurs semaines.
Escroquerie NDC : Chacun se renvoie la balle...
Autres articles
-
Billets émis et taxe Chirac : attention à pas franchir la ligne rouge ! [ABO]
-
Air France - KLM : la Taxe Chirac va impacter de 90 à 170M€ le résultat d’exploitation
-
Air France : quelles sont les économies réalisées avec NDC ?
-
Air France et KLM : la surcharge GDS passera à 3€ en janvier
-
Emirates répercute à son tour la taxe de solidarité sans attendre le vote
D'après Air France que nous avions contactée en début d'année, la sécurisation est bien réelle. La clé d'accès est envoyée au mail référentiel IATA. Ce dernier provient des données transmises par l'agence à l'association internationale du transport aérien.
Chacune des parties se renvoie la balle, reste que l'enquête déterminera le perdant.
Du côté des agences lésées, la quête de preuve est rendue complexe. La compagnie nationale n'entend pas donner aux agences les billets émis, ce qui est un comble, puisque les enquêteurs en ont besoin pour le dossier.
Ce n'est pas le seul problème soulevé, par l'un des gérants.
"Toutes les agences de voyages en France qui émettent sur NDC se retrouvent avec un même numéro IATA qui n'appartient à personne, donc de nature générique.
Il n'y a aucune vérification. C'est grave," lâche-t-il désabusé. Il est donc impossible de vérifier qui a émis les billets.
Reste que cette fraude arrive à un moment peu opportun, à un moment où tout un secteur est fragilisé par deux ans de crise sanitaire.
La majorité des acteurs de la distribution ne peut se permettre de perdre plusieurs dizaines de milliers d'euros, sans se retrouver en grande difficulté. Surtout que le mur de la dette aggravé par les PGE se rapproche dangereusement et inquiète toute une profession.
Chacune des parties se renvoie la balle, reste que l'enquête déterminera le perdant.
Du côté des agences lésées, la quête de preuve est rendue complexe. La compagnie nationale n'entend pas donner aux agences les billets émis, ce qui est un comble, puisque les enquêteurs en ont besoin pour le dossier.
Ce n'est pas le seul problème soulevé, par l'un des gérants.
"Toutes les agences de voyages en France qui émettent sur NDC se retrouvent avec un même numéro IATA qui n'appartient à personne, donc de nature générique.
Il n'y a aucune vérification. C'est grave," lâche-t-il désabusé. Il est donc impossible de vérifier qui a émis les billets.
Reste que cette fraude arrive à un moment peu opportun, à un moment où tout un secteur est fragilisé par deux ans de crise sanitaire.
La majorité des acteurs de la distribution ne peut se permettre de perdre plusieurs dizaines de milliers d'euros, sans se retrouver en grande difficulté. Surtout que le mur de la dette aggravé par les PGE se rapproche dangereusement et inquiète toute une profession.