"l faut donc être particulièrement vigilant sur les équipements qui utilisent par exemple les GDS, logiciels dans lesquels, les agents de voyages rentrent les données clients" explique Gabriel Leperlier, Senior Manager chez Verizon Enterprise Solutions - Depositphotos.com bloomua
C'était l'information à ne pas dévoiler lors des Journées des Entrepreneurs du Voyage mais qui a, pourtant, fait le tour des congressistes.
Deux agences de voyages Selectour se sont fait pirater les codes de leur GDS. Résultat : des billets émis la nuit pour des montants de plusieurs dizaines de milliers d'euros.
Le sujet semble "touchy". Personne ne souhaite communiquer dessus.
Seule une réponse officielle nous est parvenue ce jeudi 7 février 2019 de la part de Selectour : "Concernant la situation et compte-tenu de la confidentialité, Selectour n’est pas en mesure de communiquer sur le sujet.
Toute notre équipe travaille étroitement et au quotidien avec ses partenaires pour amener les agences vers un mode de fonctionnement qui vise à empêcher que ce genre de situation se reproduise.
C’était également l’objet de notre réunion avec Amadeus avec qui nous avançons vers une collaboration plus sécurisée de jour en jour".
Si les bruits qui couraient faisaient état d'une dizaine d'agences, à notre connaissance et après avoir interrogé les Entreprises du Voyage et plusieurs représentations régionales, seuls deux cas seraient réellement confirmés.
Ce type d'attaque n'est pas une nouveauté puisque au Maroc en 2017 plus de 50 agences de voyages ont été victimes d’un piratage à grande échelle, selon le site 360.ma.
Même scénario plus récemment en Algérie... mais aussi en Tunisie...
Deux agences de voyages Selectour se sont fait pirater les codes de leur GDS. Résultat : des billets émis la nuit pour des montants de plusieurs dizaines de milliers d'euros.
Le sujet semble "touchy". Personne ne souhaite communiquer dessus.
Seule une réponse officielle nous est parvenue ce jeudi 7 février 2019 de la part de Selectour : "Concernant la situation et compte-tenu de la confidentialité, Selectour n’est pas en mesure de communiquer sur le sujet.
Toute notre équipe travaille étroitement et au quotidien avec ses partenaires pour amener les agences vers un mode de fonctionnement qui vise à empêcher que ce genre de situation se reproduise.
C’était également l’objet de notre réunion avec Amadeus avec qui nous avançons vers une collaboration plus sécurisée de jour en jour".
Si les bruits qui couraient faisaient état d'une dizaine d'agences, à notre connaissance et après avoir interrogé les Entreprises du Voyage et plusieurs représentations régionales, seuls deux cas seraient réellement confirmés.
Ce type d'attaque n'est pas une nouveauté puisque au Maroc en 2017 plus de 50 agences de voyages ont été victimes d’un piratage à grande échelle, selon le site 360.ma.
Même scénario plus récemment en Algérie... mais aussi en Tunisie...
Les pros du digital donnent leur avis
Autres articles
-
Cybersécurité : ransomware, phishing ou deepfake... la menace est partout ! 🔑
-
Agences, cherchent modèle économique... désespérément ! 🔑
-
JO de Paris : malgré des craintes, TO et agences affûtent leurs armes 🔑
-
Cybersécurité : le télétravail représente-t-il un risque accru ?
-
Réservations agences de voyages : l'année 2024 dans les pas de 2023 ? 🔑
Et cette information n'a rien d'une surprise pour les professionnels du voyage interrogés.
Laurent Briquet, le DG de SpeedMedia, précise : "le transport est un secteur très attaqué, ça ne date pas d'hier. Nous connaissons nous aussi des attaques."
Même son de cloche du côté de Misterfly : "il est impossible de dire que nous sommes totalement prémunis face au piratage. Il suffit de voir les scandales avec Google ou Facebook", explique Frédéric Pilloud, directeur digital.
Pour limiter les risques, nous précise-t-il, "nous envoyons une confirmation lors de chaque émission de billet sur une boîte mail", elle-même configurée par le responsable de l'agence de voyages.
Une stratégie simple, mais permettant d'éviter le pire, et de ne dénombrer qu'un, voire deux cas par an.
Pour Resaneo, il existe un double barrage à la fois humain "qui ne résout pas tous les problèmes. Il est basé sur le bon sens" et un autre digital. Le bon sens fait souvent défaut dans les épisodes de piratage.
Frédéric Pilloud ajoute : "par piratage, il faut savoir de quoi on parle. Bien souvent les problèmes proviennent de malveillance d'un salarié qui avait accès aux codes Amadeus et qui les a communiqués à une autre personne".
La fraude se passe sur les biens de consommation rapide, c'est tout simplement par facilité, d'ailleurs les billets ont été émis pour un vol le même jour.
Laurent Briquet, le DG de SpeedMedia, précise : "le transport est un secteur très attaqué, ça ne date pas d'hier. Nous connaissons nous aussi des attaques."
Même son de cloche du côté de Misterfly : "il est impossible de dire que nous sommes totalement prémunis face au piratage. Il suffit de voir les scandales avec Google ou Facebook", explique Frédéric Pilloud, directeur digital.
Pour limiter les risques, nous précise-t-il, "nous envoyons une confirmation lors de chaque émission de billet sur une boîte mail", elle-même configurée par le responsable de l'agence de voyages.
Une stratégie simple, mais permettant d'éviter le pire, et de ne dénombrer qu'un, voire deux cas par an.
Pour Resaneo, il existe un double barrage à la fois humain "qui ne résout pas tous les problèmes. Il est basé sur le bon sens" et un autre digital. Le bon sens fait souvent défaut dans les épisodes de piratage.
Frédéric Pilloud ajoute : "par piratage, il faut savoir de quoi on parle. Bien souvent les problèmes proviennent de malveillance d'un salarié qui avait accès aux codes Amadeus et qui les a communiqués à une autre personne".
La fraude se passe sur les biens de consommation rapide, c'est tout simplement par facilité, d'ailleurs les billets ont été émis pour un vol le même jour.
3 conseils de base pour protéger ses équipements
Interrogé dans le cadre de la mise en place du RGPD (Règlement Européen de la Protection des données), Gabriel Leperlier, Senior Manager chez Verizon Enterprise Solutions, nous avait livré 3 conseils de base pour protéger ses équipements. Les voici :
Première recommandation : "patcher" ses ordinateurs, tablettes, serveurs, c'est à dire mettre à jour les systèmes d'exploitation et les logiciels utilisés afin d'éviter les failles de sécurité.
Deuxième conseil : installer une suite anti-virus capable de détecter les logiciels malveillants (malware), espions (keylogger) ou les logiciels de rançon (ransomware) susceptible de prendre en otage vos bases de données.
Troisième suggestion : réaliser le "durcissement" des équipements. Il s'agit d'éliminer des ordinateurs tous les logiciels qui ne sont pas strictement réservés au travail.
"Sur Windows, certains logiciels ou serveurs sont installés par défaut. Si ces softwares ne sont pas mis à jour, l'attaquant c'est à dire le pirate va pouvoir se servir de ces failles pour prendre possession de votre PC.
Il faut donc être particulièrement vigilant sur les équipements qui utilisent par exemple les GDS, logiciels dans lesquels, les agents de voyages rentrent les données clients" explique Gabriel Leperlier.
La menace est réelle. "Il faut se rendre compte que le piratage de données est une véritable industrie, gérée par des groupes organisés mafieux. Ces personnes travaillent chaque jour comme vous et moi, ils ont des réunions, et chacun a sa spécialité. Leur but est simple récupérer des données et les vendre", ajoute Gabriel Leperlier. "Le pire serait de ne rien faire car les bonnes pratiques sont peu coûteuses à mettre en place, et réduisent déjà le risque de 90%."
Une des techniques les plus connus de piratage est le "phishing". Il s'agit d'un email qui renvoie vers des liens suspects ou comprenant une pièce jointe qui va installer un logiciel malveillant. Il faut donc rester méfiant envers des emails mal rédigés en français ou qui proviennent d'expéditeurs suspects.
Première recommandation : "patcher" ses ordinateurs, tablettes, serveurs, c'est à dire mettre à jour les systèmes d'exploitation et les logiciels utilisés afin d'éviter les failles de sécurité.
Deuxième conseil : installer une suite anti-virus capable de détecter les logiciels malveillants (malware), espions (keylogger) ou les logiciels de rançon (ransomware) susceptible de prendre en otage vos bases de données.
Troisième suggestion : réaliser le "durcissement" des équipements. Il s'agit d'éliminer des ordinateurs tous les logiciels qui ne sont pas strictement réservés au travail.
"Sur Windows, certains logiciels ou serveurs sont installés par défaut. Si ces softwares ne sont pas mis à jour, l'attaquant c'est à dire le pirate va pouvoir se servir de ces failles pour prendre possession de votre PC.
Il faut donc être particulièrement vigilant sur les équipements qui utilisent par exemple les GDS, logiciels dans lesquels, les agents de voyages rentrent les données clients" explique Gabriel Leperlier.
La menace est réelle. "Il faut se rendre compte que le piratage de données est une véritable industrie, gérée par des groupes organisés mafieux. Ces personnes travaillent chaque jour comme vous et moi, ils ont des réunions, et chacun a sa spécialité. Leur but est simple récupérer des données et les vendre", ajoute Gabriel Leperlier. "Le pire serait de ne rien faire car les bonnes pratiques sont peu coûteuses à mettre en place, et réduisent déjà le risque de 90%."
Une des techniques les plus connus de piratage est le "phishing". Il s'agit d'un email qui renvoie vers des liens suspects ou comprenant une pièce jointe qui va installer un logiciel malveillant. Il faut donc rester méfiant envers des emails mal rédigés en français ou qui proviennent d'expéditeurs suspects.