Accelya, le prestataire de IATA pour le BPS, a été piraté par un ransomware - Depositphotos @rogistok
Parfois un sujet ou le démarrage d'une enquête, est affaire de simple hasard...
Dans le flot continu de mails et de spams, d'institutions bancaires ou de fausses cotations pour des voyages, un mail envoyé début novembre par IATA m'a interpellé.
L'objet était court, mais suffisamment impactant pour attirer l'attention : "URGENT ACTION". N'étant pas agent de voyages, je me suis demandé ce que l'association représentant les compagnies aériennes me voulait.
"Veuillez noter qu'il s'agit d'un message de réponse automatique. Veuillez ne pas répondre à cet e-mail. Veuillez trouver ci-jointe la circulaire n° 11 pour une action urgente. Pour votre sécurité, utilisez ce code pour ouvrir la pièce jointe : IATA," indiquait le corps du message.
A ce mail était joint un document Word verrouillé par ce fameux code secret (IATA).
Bien sûr, je ne suis pas allé plus loin que la simple lecture de ce courrier électronique. Et je vous conseille vivement d'en faire autant, si jamais vous recevez un message de ce genre.
D'autant qu'en remontant l'histoire de ce courriel, j'ai compris qu'un piratage bien plus vaste et plus inquiétant avait eu lieu au sein de l'association de représentation des compagnies aériennes mondiales.
Je vous propose de remonter le fil, jusqu'au piratage du BSPLink.
Dans le flot continu de mails et de spams, d'institutions bancaires ou de fausses cotations pour des voyages, un mail envoyé début novembre par IATA m'a interpellé.
L'objet était court, mais suffisamment impactant pour attirer l'attention : "URGENT ACTION". N'étant pas agent de voyages, je me suis demandé ce que l'association représentant les compagnies aériennes me voulait.
"Veuillez noter qu'il s'agit d'un message de réponse automatique. Veuillez ne pas répondre à cet e-mail. Veuillez trouver ci-jointe la circulaire n° 11 pour une action urgente. Pour votre sécurité, utilisez ce code pour ouvrir la pièce jointe : IATA," indiquait le corps du message.
A ce mail était joint un document Word verrouillé par ce fameux code secret (IATA).
Bien sûr, je ne suis pas allé plus loin que la simple lecture de ce courrier électronique. Et je vous conseille vivement d'en faire autant, si jamais vous recevez un message de ce genre.
D'autant qu'en remontant l'histoire de ce courriel, j'ai compris qu'un piratage bien plus vaste et plus inquiétant avait eu lieu au sein de l'association de représentation des compagnies aériennes mondiales.
Je vous propose de remonter le fil, jusqu'au piratage du BSPLink.
IATA : des mails frauduleux envoyés à travers le monde !
Concernant le mail, il répond à une tentative dite de "l'hameçonnage" qui permet de s'introduire dans votre ordinateur ou tout simplement de demander la saisie de différentes informations.
"Un mail de phishing peut également vous inciter à ouvrir ou télécharger une pièce jointe.
Une fois ouverte, la pièce jointe vous redirige vers un site frauduleux vous réclamant des informations confidentielles, voire installe un virus sur votre ordinateur ou votre téléphone," précise le site du gouvernement français Cybermalveillance.
Dans le cas présent, le pirate aurait peut être pu prendre le contrôle de mon appareil à distance ou, si j'étais un agent de voyages, avoir accès au BPS du point de vente.
Outre le fait que je n'attendais pas spécialement d'email de la part d'IATA, l'adresse mail est un élément à bien surveiller. Dans le cas présent, l'usurpation est grossière, puisque le mail de l'expéditeur est : noreply@iato.org.
"Il s'agit donc clairement d'un courriel frauduleux, car l'adresse indiquée est "iato.org" et non "iata.org".
Ce domaine est déjà répertorié sur la page des fraudes du site de l'IATA. De plus, le domaine iato.org a déjà été retiré par nos soins," explique l'Association.
Le fraudeur n'est plus en mesure de recevoir des e-mails sur cette adresse, mais seulement CETTE adresse.
Pour ceux qui reçoivent des mails étranges en provenance de l'organe de lobbying des transporteurs, une page recense les différents noms de domaine et emails frauduleux, (cliquez ici pour y accéder).
A noter que les adresses électroniques de IATA terminent TOUJOURS par "@iata.org".
Une fois, le problème du spam résolu, je me suis posé la question de savoir : comment cette personne a bien pu avoir mon email et me relier à IATA ?
J'évoque alors le cas avec quelques patrons et geeks du secteur.
"Quand on reçoit des mails de fraude sur des adresses déclarées chez IATA, c'est que la fuite vient de là bas ou alors d'une compagnie membre," me prévient un acteur du monde de la techno.
L'association ou l'un de ses adhérents aurait donc été piraté.
"Un mail de phishing peut également vous inciter à ouvrir ou télécharger une pièce jointe.
Une fois ouverte, la pièce jointe vous redirige vers un site frauduleux vous réclamant des informations confidentielles, voire installe un virus sur votre ordinateur ou votre téléphone," précise le site du gouvernement français Cybermalveillance.
Dans le cas présent, le pirate aurait peut être pu prendre le contrôle de mon appareil à distance ou, si j'étais un agent de voyages, avoir accès au BPS du point de vente.
Outre le fait que je n'attendais pas spécialement d'email de la part d'IATA, l'adresse mail est un élément à bien surveiller. Dans le cas présent, l'usurpation est grossière, puisque le mail de l'expéditeur est : noreply@iato.org.
"Il s'agit donc clairement d'un courriel frauduleux, car l'adresse indiquée est "iato.org" et non "iata.org".
Ce domaine est déjà répertorié sur la page des fraudes du site de l'IATA. De plus, le domaine iato.org a déjà été retiré par nos soins," explique l'Association.
Le fraudeur n'est plus en mesure de recevoir des e-mails sur cette adresse, mais seulement CETTE adresse.
Pour ceux qui reçoivent des mails étranges en provenance de l'organe de lobbying des transporteurs, une page recense les différents noms de domaine et emails frauduleux, (cliquez ici pour y accéder).
A noter que les adresses électroniques de IATA terminent TOUJOURS par "@iata.org".
Une fois, le problème du spam résolu, je me suis posé la question de savoir : comment cette personne a bien pu avoir mon email et me relier à IATA ?
J'évoque alors le cas avec quelques patrons et geeks du secteur.
"Quand on reçoit des mails de fraude sur des adresses déclarées chez IATA, c'est que la fuite vient de là bas ou alors d'une compagnie membre," me prévient un acteur du monde de la techno.
L'association ou l'un de ses adhérents aurait donc été piraté.
IATA : un piratage du BSP début août 2022 !
"Il y a une rumeur qui persiste sur un piratage de IATA durant l'été, mais je n'en sais pas plus," précise un représentant de la profession.
A travers les discussions, cette rumeur revient régulièrement. Bizarrement personne n'est vraiment au courant, mais tout le monde en parle. Finalement, l'information se confirme au sein des instances de l'industrie.
"Un prestataire de IATA a été piraté par un ransomware. Nous n'avons pas vraiment les tenants et les aboutissants de l'histoire, l'Association ne révèle rien sur le sujet," nous explique-t-on.
Après de multiples échanges, je remonte les mésaventures de l'entreprise chargée de développer et d'exploiter la centrale de paiement du transport aérien. Un patron qui préfère garder l'anonymat me confie alors que le tout nouveau portail BSP a été soudainement fermé durant l'été.
Finalement, un autre honorable correspondant, tout aussi discret, me vend la mèche.
Le 3 août 2022, suite à des problèmes de connexion au nouveau BSPLink, des agents de voyages contactent IATA pour en savoir plus. La réponse de l'association est plutôt inquiétante.
"Je m’excuse au nom de toute l’équipe. Malheureusement, il y a un problème grave avec le nouveau BSPlink en ce moment. Nos spécialistes et techniciens travaillent sans relâche pour essayer de le réparer et de rendre la plate-forme BETA à nouveau disponible."
En attendant, la reprise en main, Accelya, le prestataire de IATA, renvoie les agents de voyages vers un lien ancien qui ne dispose malheureusement pas de toutes les fonctionnalités.
Le 5 août 2022, IATA est informé par Accelya de la nature des dysfonctionnements à savoir le piratage par un ransomware). Le 22 août, c'est au tour d'un organe de représentation des professionnels d'apprendre l'affaire.
Il aura donc fallu 20 jours pour qu'une partie de l'industrie soit informée des causes réelles du problème.
A travers les discussions, cette rumeur revient régulièrement. Bizarrement personne n'est vraiment au courant, mais tout le monde en parle. Finalement, l'information se confirme au sein des instances de l'industrie.
"Un prestataire de IATA a été piraté par un ransomware. Nous n'avons pas vraiment les tenants et les aboutissants de l'histoire, l'Association ne révèle rien sur le sujet," nous explique-t-on.
Après de multiples échanges, je remonte les mésaventures de l'entreprise chargée de développer et d'exploiter la centrale de paiement du transport aérien. Un patron qui préfère garder l'anonymat me confie alors que le tout nouveau portail BSP a été soudainement fermé durant l'été.
Finalement, un autre honorable correspondant, tout aussi discret, me vend la mèche.
Le 3 août 2022, suite à des problèmes de connexion au nouveau BSPLink, des agents de voyages contactent IATA pour en savoir plus. La réponse de l'association est plutôt inquiétante.
"Je m’excuse au nom de toute l’équipe. Malheureusement, il y a un problème grave avec le nouveau BSPlink en ce moment. Nos spécialistes et techniciens travaillent sans relâche pour essayer de le réparer et de rendre la plate-forme BETA à nouveau disponible."
En attendant, la reprise en main, Accelya, le prestataire de IATA, renvoie les agents de voyages vers un lien ancien qui ne dispose malheureusement pas de toutes les fonctionnalités.
Le 5 août 2022, IATA est informé par Accelya de la nature des dysfonctionnements à savoir le piratage par un ransomware). Le 22 août, c'est au tour d'un organe de représentation des professionnels d'apprendre l'affaire.
Il aura donc fallu 20 jours pour qu'une partie de l'industrie soit informée des causes réelles du problème.
IATA : Des données du BSP volées et rendues publiques
Pour rappel, le BSP a vu transiter en 2015 près de 230 milliards de dollars. A cette époque, l'euro était bien plus fort que le billet vert.
Alors que les Français reprenaient le travail et que les vacances estivales se terminaient, Accelya n'était toujours pas en mesure de savoir quelles informations avait fait l'objet du piratage ni de de l'ampleur de l'attaque.
L'Alliance mondiale des associations d'agents de voyage (WTAAA) écrit à IATA pour exprimer sa surprise d'avoir été prévenue plus de 2 semaines après les faits. Elle estime que l'organe de lobby des compagnies aurait dû réagir plus tôt.
L'Association réplique en tentant de minimiser l'impact de l'incident et sa faute, en arguant qu'il ne s’agissait pas d’un incident de sécurité de l’IATA et qu’elle ne contrôlait pas les informations directes concernant l’incident.
Quelques jours plus tard, Accelya reconnaît que des données avaient été bel et bien volées.
Dans un courrier, que nous avons pu consulter, signé de la main de Muhammad Ali Albakri, vice-président sénior de IATA, nous apprenons que "l'attaque a affecté la sauvegarde principale et celle séparée pour le nouveau BSPLink.
Des sources indépendantes, nous ont fourni une indication sans ambiguïté sur le fait claire que certaines données des systèmes BSP ont été divulguées dans le domaine public," dévoile un courrier.
Malheureusement, dans ces fichiers subtilisés figuraient différentes informations personnelles, telles le prénom, le nom de famille et les coordonnées des agents de voyage. Des data mises à disposition depuis sur le dark web.
Et ce n'est pas tout : sur des sites spécialisés en cybersécurité, nous découvrons que le problème va plus loin.
"Des informations exfiltrées de leurs systèmes ont été mises à disposition sur le site de fuite du groupe ransomware AlphV/Black Cat.
Le groupe prétend avoir accès à une multitude de données, dont des courriels et des contrats de travail, entre autres," dévoile le site binarydefense.
Alors que les Français reprenaient le travail et que les vacances estivales se terminaient, Accelya n'était toujours pas en mesure de savoir quelles informations avait fait l'objet du piratage ni de de l'ampleur de l'attaque.
L'Alliance mondiale des associations d'agents de voyage (WTAAA) écrit à IATA pour exprimer sa surprise d'avoir été prévenue plus de 2 semaines après les faits. Elle estime que l'organe de lobby des compagnies aurait dû réagir plus tôt.
L'Association réplique en tentant de minimiser l'impact de l'incident et sa faute, en arguant qu'il ne s’agissait pas d’un incident de sécurité de l’IATA et qu’elle ne contrôlait pas les informations directes concernant l’incident.
Quelques jours plus tard, Accelya reconnaît que des données avaient été bel et bien volées.
Dans un courrier, que nous avons pu consulter, signé de la main de Muhammad Ali Albakri, vice-président sénior de IATA, nous apprenons que "l'attaque a affecté la sauvegarde principale et celle séparée pour le nouveau BSPLink.
Des sources indépendantes, nous ont fourni une indication sans ambiguïté sur le fait claire que certaines données des systèmes BSP ont été divulguées dans le domaine public," dévoile un courrier.
Malheureusement, dans ces fichiers subtilisés figuraient différentes informations personnelles, telles le prénom, le nom de famille et les coordonnées des agents de voyage. Des data mises à disposition depuis sur le dark web.
Et ce n'est pas tout : sur des sites spécialisés en cybersécurité, nous découvrons que le problème va plus loin.
"Des informations exfiltrées de leurs systèmes ont été mises à disposition sur le site de fuite du groupe ransomware AlphV/Black Cat.
Le groupe prétend avoir accès à une multitude de données, dont des courriels et des contrats de travail, entre autres," dévoile le site binarydefense.
Un lien de cause à effet avec les nombreuses attaques répertoriées ?
Accelya nous informe, après sollicitation de notre part, en avoir informé certains clients. Du moins ceux ayant été identifiés comme étant concernés par le piratage d'informations.
En septembre, Philippine Airlines conseille aux membres de son programme de fidélité de changer leur mot de passe.
"Les informations personnelles de certains de nos membres Mabuhay Miles, qui se limitent au nom, à la date de naissance, à la nationalité, au sexe, à la date d'adhésion, au niveau du solde de points des membres," annonçaient alors nos confrères de The Manila Times.
Le journal philippin indique que l'incident a touché plusieurs compagnies aériennes. C'est l'unique cas recensé et documenté à ce jour.
Dans la réponse que nous a adressée, Accelya, il est stipulé qu'elle continuera de prévenir "au fur et à mesure (les entreprises concernées dès) que nous en apprendrons davantage."
Presque 4 mois après la violation constatée, toute la lumière n'a pas été encore faite sur l'affaire, notamment sur son impact et son ampleur.
Le problème c'est que le renard est désormais dans le poulailler et que cette attaque pourrait n'être que le début d'une longue série...
Par exemple, durant l'été nous savons qu'un grand voyagiste français a connu, lui aussi, pareille mésaventure. Il a dû débourser une forte somme d'argent -plusieurs centaines de milliers d'euros, selon nos sources - pour reprendre le contrôle de ses données et logiciels.
Le 22 septembre, American Airlines et Tap Air Portugal essuyaient, eux aussi, un piratage au ransomware. Cette fois-ci il provenait d'une source différent pour la compagnie portugaise, l'attaque étant revendiquée par Ragnar Locker.
Y-a-t'il un rapport entre ces différents évènements ?
"Il est important de noter que nous avons arrêté la propagation du logiciel malveillant et l'avons mis en quarantaine avant qu'il ne se propage davantage.
Nous n'avons aucune preuve indiquant que le malware aurait pu se déplacer latéralement de nos systèmes vers les environnements de nos clients," nous précise Accelya.
Selon le prestataire de IATA, ces incidents n'ont donc aucun lien.
Malgré tout, cette histoire pose énormément de questions, notamment sur la gestion des données et la sécurité de celles-ci, mais aussi celle de la responsabilité des intermédiaires et prestataires en cas de piratage.
Elle nous met aussi en garde sur le fait qu'aucune entreprise quelle qu'elle soit, n'est à l'abri et ne doit ignorer la menace que représente la digitalisation croissante de nos métiers.
En septembre, Philippine Airlines conseille aux membres de son programme de fidélité de changer leur mot de passe.
"Les informations personnelles de certains de nos membres Mabuhay Miles, qui se limitent au nom, à la date de naissance, à la nationalité, au sexe, à la date d'adhésion, au niveau du solde de points des membres," annonçaient alors nos confrères de The Manila Times.
Le journal philippin indique que l'incident a touché plusieurs compagnies aériennes. C'est l'unique cas recensé et documenté à ce jour.
Dans la réponse que nous a adressée, Accelya, il est stipulé qu'elle continuera de prévenir "au fur et à mesure (les entreprises concernées dès) que nous en apprendrons davantage."
Presque 4 mois après la violation constatée, toute la lumière n'a pas été encore faite sur l'affaire, notamment sur son impact et son ampleur.
Le problème c'est que le renard est désormais dans le poulailler et que cette attaque pourrait n'être que le début d'une longue série...
Par exemple, durant l'été nous savons qu'un grand voyagiste français a connu, lui aussi, pareille mésaventure. Il a dû débourser une forte somme d'argent -plusieurs centaines de milliers d'euros, selon nos sources - pour reprendre le contrôle de ses données et logiciels.
Le 22 septembre, American Airlines et Tap Air Portugal essuyaient, eux aussi, un piratage au ransomware. Cette fois-ci il provenait d'une source différent pour la compagnie portugaise, l'attaque étant revendiquée par Ragnar Locker.
Y-a-t'il un rapport entre ces différents évènements ?
"Il est important de noter que nous avons arrêté la propagation du logiciel malveillant et l'avons mis en quarantaine avant qu'il ne se propage davantage.
Nous n'avons aucune preuve indiquant que le malware aurait pu se déplacer latéralement de nos systèmes vers les environnements de nos clients," nous précise Accelya.
Selon le prestataire de IATA, ces incidents n'ont donc aucun lien.
Malgré tout, cette histoire pose énormément de questions, notamment sur la gestion des données et la sécurité de celles-ci, mais aussi celle de la responsabilité des intermédiaires et prestataires en cas de piratage.
Elle nous met aussi en garde sur le fait qu'aucune entreprise quelle qu'elle soit, n'est à l'abri et ne doit ignorer la menace que représente la digitalisation croissante de nos métiers.