Des pirates ont ciblé le redémarrage d’Aerticket pour émettre des billets d’avion - Depositphotos @cienpies
Vous pouvez acheter cet article à l'unité pour le prix de 3,99 € en cliquant ICI ou vous abonner pour 83€ TTC par an.
Avant de cliquer, regardez bien où vous posez votre curseur !
C'est un conseil de base qui devient de plus en plus précieux à garder à l'esprit, notamment pour les personnes qui préparent leurs séjours sur internet, tout comme les agents de voyages.
Pendant des années, les pirates utilisaient la fraude du site miroir qui consiste à dupliquer le portail d'une compagnie aérienne ou GDS, pour obtenir les codes de connexion des agents de voyages.
Cette technique s'est aussi propagée au BtoC. Les personnes malveillantes ont lancé des campagnes à grande échelle, en copiant les plateformes de musées et attractions nationales pour duper les internautes.
Après le Musée d'Orsay, le Parc d'Asterix ou encore Disneyland Paris, ils se sont attaqués à l'ensemble des musées parisiens, comme le Louvre ou Versailles.
Pour éviter ces pièges, une question cruciale s’impose : où suis-je ? L’adresse du site doit être examinée attentivement, une lettre, un accent ou un tiret peut tout changer. Un détail infime peut cacher une escroquerie.
Bien que dénoncé, depuis plusieurs semaines, "chateauversalles.fr" est lui toujours actif.
Et malheureusement, cette vague ne s'arrête pas là. Les pirates sont pleins de ressources et d'imagination.
Cyberattaque : des centaines de milliers d’euros perdus par des agences
Leur journée type est classique, ils lisent votre site d’information préféré.
Nous exagérons à peine, mais la vérité ne doit pas être trop éloignée de ce constat.
Des personnes malintentionnées semblent avoir profité du redémarrage de Cockpit, la plateforme d’Aerticket, pour lancer une campagne de phishing ciblant les agents de voyages français.
A lire sur le sujet : Cybersécurité : ransomware, phishing ou deepfake... la menace est partout !
Souvenez-vous, début mars, le géant allemand de la distribution aérienne a été privé de sa principale plateforme à la suite d’une attaque des systèmes informatiques d’un sous-traitant, menée par le groupe nommé Qilin.
Ayant subtilisé la sauvegarde, les équipes d'Aerticket ont dû repartir de zéro ou presque pour relancer la machine.
Près d’un mois plus tard, après l’interruption de l’activité, Cockpit a finalement redémarré. Les cybercriminels n’ont pas pour autant laissé de répit à l’entreprise allemande.
À peine la direction avait-elle appuyé sur le bouton de mise en marche qu’une vague d’attaques a ciblé plusieurs acteurs.
D’après nos informations, deux points de vente du réseau TourCom ont été piratés. Plusieurs centaines de milliers d’euros de billets ont été émis le jour même.
Les départs avaient tous lieu trois ou quatre heures plus tard, systématiquement depuis l’Afrique. À ce stade, les causes précises de ces piratages restent floues, même si tout porte à croire qu’il s’agit d’une campagne de phishing.
Les pirates auraient pu envoyer des e-mails aux professionnels, leur demandant de saisir leurs identifiants et mots de passe associés, profitant du redémarrage de la solution – et donc d’un moment de relâchement de leur vigilance.
Une fois les données récupérées, ils n’avaient plus qu’à profiter de la fenêtre idéale, dans la nuit de samedi à dimanche, pour effectuer des réservations en masse.
Amadeus cible d’une campagne de phishing !
D'après un suiveur du dossier, d'autres explications sont possibles, comme celle d'un piratage des ordinateurs des agents ou alors des informations auraient été subtilisées lors de l’attaque contre le sous-traitant d’Aerticket.
Puisque le géant allemand n'a semble-t-il pas versé la rançon exigée, des données auraient très bien pu être vendues sur le dark web.
Le spécialiste de la distribution aérienne a toujours affirmé qu’aucune donnée n’avait été dérobée par le groupe Qilin. Une autre hypothèse évoque la double authentification récemment instaurée par Amadeus.
Il nous a été signalé qu’une campagne de phishing visait les professionnels, via l’envoi de courriels piégés relatifs à l’authentification MFA.
Début avril, un autre réseau avait alerté ses adhérents, leur rappelant de ne pas cliquer sur les liens contenus dans ces messages et de ne jamais transmettre d’informations sensibles. En cas de doute, ils étaient invités à se tourner vers Amadeus.
L’opération révèle une réalité inquiétante : le secteur est scruté à la loupe, et chaque événement devient une brèche potentielle dans les systèmes de réservation.
Cette campagne aurait donc pu s’étendre à Aerticket, en utilisant les mêmes courriels subtilisés lors d’un précédent piratage, peut-être lors de la cyberattaque contre le BSP de l’IATA.
Le GDS n’a pas souhaité commenter ces informations. Bien qu’il ait reconnu l’existence de la campagne de phishing, il s’est contenté de renvoyer vers les consignes publiées sur Amadeus Service Hub.
Puisque le géant allemand n'a semble-t-il pas versé la rançon exigée, des données auraient très bien pu être vendues sur le dark web.
Le spécialiste de la distribution aérienne a toujours affirmé qu’aucune donnée n’avait été dérobée par le groupe Qilin. Une autre hypothèse évoque la double authentification récemment instaurée par Amadeus.
Il nous a été signalé qu’une campagne de phishing visait les professionnels, via l’envoi de courriels piégés relatifs à l’authentification MFA.
Début avril, un autre réseau avait alerté ses adhérents, leur rappelant de ne pas cliquer sur les liens contenus dans ces messages et de ne jamais transmettre d’informations sensibles. En cas de doute, ils étaient invités à se tourner vers Amadeus.
L’opération révèle une réalité inquiétante : le secteur est scruté à la loupe, et chaque événement devient une brèche potentielle dans les systèmes de réservation.
Cette campagne aurait donc pu s’étendre à Aerticket, en utilisant les mêmes courriels subtilisés lors d’un précédent piratage, peut-être lors de la cyberattaque contre le BSP de l’IATA.
Le GDS n’a pas souhaité commenter ces informations. Bien qu’il ait reconnu l’existence de la campagne de phishing, il s’est contenté de renvoyer vers les consignes publiées sur Amadeus Service Hub.
Tourisme : "La grande mode est d’obtenir l’accès à l’administration du site web"
Louis Vuitton Travel, une fausse agence de voyages russe qui sévit sur Telegram - Capture écran
Le secteur reste une cible privilégiée, en raison de sa faible culture en cybersécurité, de la taille modeste des équipes et des montants importants qu’il est possible de détourner.
D'autres utilisent les réseaux sociaux pour appâter les voyageurs, en leur promettant des réductions massives sur des séjours.
C’est le cas de Louis Vuitton Travel, une fausse agence de voyages russe qui sévit sur Telegram.
À l’aide de vidéos entièrement générées par l’IA, mettant en scène de jeunes femmes habillées par la célèbre marque de vêtements, les fraudeurs font miroiter des séjours à -50 % dans de grandes villes européennes ou à l’international.
Pour réserver, le client doit passer sur WhatsApp, où un opérateur demande les dates de départ, une capture d’écran du site sur lequel la recherche a été effectuée, et le processus commence.
A lire : Phishing : ceci n'est pas un site Air France ou Sabre !
"Ils font même de la publicité depuis plusieurs années sur le dark web, pour diffuser plus massivement leurs offres frauduleuses.
Il y a quelque temps, des pirates que j’avais retrouvés, pour me prouver leur 'savoir-faire' m’avaient réservé un mois dans un hôtel de luxe. Ils créent des espaces 'voucher', avec des exemples de séjours précédents affichés comme preuves.
Ils utilisent des cartes de fidélité compromises, voire des cartes bancaires volées. La grande mode est d’obtenir l’accès à l’administration du site web de l’hôtelier ou à son back-office de réservation
À partir de là, ils peuvent tout faire," nous précise Damien Bancal, le créateur du site Zataz auteur de ces révélations.
Les acteurs malveillants vont très loin : ils ont saisi l’identité du journaliste pour effectuer une réservation. Bien évidemment, il n’a pas finalisé l’opération.
Il n’a pas réglé la note, pour éviter que ses données bancaires ne soient détournées.
D'autres utilisent les réseaux sociaux pour appâter les voyageurs, en leur promettant des réductions massives sur des séjours.
C’est le cas de Louis Vuitton Travel, une fausse agence de voyages russe qui sévit sur Telegram.
À l’aide de vidéos entièrement générées par l’IA, mettant en scène de jeunes femmes habillées par la célèbre marque de vêtements, les fraudeurs font miroiter des séjours à -50 % dans de grandes villes européennes ou à l’international.
Pour réserver, le client doit passer sur WhatsApp, où un opérateur demande les dates de départ, une capture d’écran du site sur lequel la recherche a été effectuée, et le processus commence.
A lire : Phishing : ceci n'est pas un site Air France ou Sabre !
"Ils font même de la publicité depuis plusieurs années sur le dark web, pour diffuser plus massivement leurs offres frauduleuses.
Il y a quelque temps, des pirates que j’avais retrouvés, pour me prouver leur 'savoir-faire' m’avaient réservé un mois dans un hôtel de luxe. Ils créent des espaces 'voucher', avec des exemples de séjours précédents affichés comme preuves.
Ils utilisent des cartes de fidélité compromises, voire des cartes bancaires volées. La grande mode est d’obtenir l’accès à l’administration du site web de l’hôtelier ou à son back-office de réservation
À partir de là, ils peuvent tout faire," nous précise Damien Bancal, le créateur du site Zataz auteur de ces révélations.
Les acteurs malveillants vont très loin : ils ont saisi l’identité du journaliste pour effectuer une réservation. Bien évidemment, il n’a pas finalisé l’opération.
Il n’a pas réglé la note, pour éviter que ses données bancaires ne soient détournées.
Un faux site d’un TO français hébergé en Russie
Un faux site d’un TO français hébergé en Russie - Capture écran
Autres articles
-
Amadeus mise sur le cloud de Google pour l’IA
-
Une journée avec Samia Halimatou, étudiante en alternance chez Amadeus (vidéo)
-
Amadeus : l'activité progresse au premier trimestre 2025
-
Vietnam Airlines mise sur l’IA avec Amadeus
-
Vols retardés, trains annulés... quel est l'impact de la panne électrique en Espagne et au Portugal ?
Les compagnies aériennes semblent aujourd’hui moins nombreuses parmi les victimes identifiées par les cybercriminels.
"Elles ont beaucoup évolué en matière de sécurité.
Elles étaient autrefois des cibles privilégiées, notamment via les cartes de fidélité, car les pirates revendaient les points ou profitaient des réductions chez des partenaires comme les loueurs de voitures.
Vous savez, à partir du moment où ces individus accèdent à une adresse e-mail ou entrent en contact avec un salarié d’une entreprise, s’ils maîtrisent les techniques d’infiltration, tout devient possible.
Le plus compliqué reste ensuite de les déloger des serveurs," poursuit le journaliste spécialisé.
Et comme pour les sites miroirs évoqués plus haut, un tour-opérateur parisien a découvert une copie de son site hébergée sur le Google russe.
En naviguant sur Yandex, ce dirigeant a repéré une plateforme reprenant exactement le nom de sa société, avec une adresse presque identique – le trait d’union en moins – et la même terminaison.
Il est ainsi possible d’y réserver un séjour en Jordanie dans des hôtels 5 étoiles, une escapade en Patagonie en écolodge, ou encore un week-end romantique en Toscane pour… 89 dollars.
Et mauvaise nouvelle, ce faux site est actuellement disponible sur le web français. Cette contrefaçon pourrait-elle remonter un jour dans les requêtes de Google pour évincer l'originale ?
"Les escroqueries sont redoutablement efficaces.
Comme ils créent leurs contenus depuis la Russie, personne ne les poursuivra. Ils réutilisent les méthodes éprouvées durant les périodes de grands froids numériques : ils conçoivent des sites qui usurpent l’identité de véritables plateformes pour détourner le trafic.
Et cela ne touche pas seulement les voyageurs russes, mais tout le monde. Vous savez, Groupama a mis trois ans à récupérer 39 noms de domaine créés pour usurper sa marque.
En cas d’usurpation, les recours sont très limités. Si le site frauduleux utilise une extension en .fr, on peut saisir l’AFNIC, l’agence chargée des noms de domaine. Pour les autres… la bataille est longue et coûteuse.
À moins qu’ils n’utilisent une extension exotique comme .spu ou issue d’îles lointaines, là… il ne reste que les yeux pour pleurer.
Il faut convaincre les moteurs de recherche de déréférencer l’usurpateur," conclut Damien Bancal.
Pour être en sécurité, il faut être informé et prévoyant.
"Elles ont beaucoup évolué en matière de sécurité.
Elles étaient autrefois des cibles privilégiées, notamment via les cartes de fidélité, car les pirates revendaient les points ou profitaient des réductions chez des partenaires comme les loueurs de voitures.
Vous savez, à partir du moment où ces individus accèdent à une adresse e-mail ou entrent en contact avec un salarié d’une entreprise, s’ils maîtrisent les techniques d’infiltration, tout devient possible.
Le plus compliqué reste ensuite de les déloger des serveurs," poursuit le journaliste spécialisé.
Et comme pour les sites miroirs évoqués plus haut, un tour-opérateur parisien a découvert une copie de son site hébergée sur le Google russe.
En naviguant sur Yandex, ce dirigeant a repéré une plateforme reprenant exactement le nom de sa société, avec une adresse presque identique – le trait d’union en moins – et la même terminaison.
Il est ainsi possible d’y réserver un séjour en Jordanie dans des hôtels 5 étoiles, une escapade en Patagonie en écolodge, ou encore un week-end romantique en Toscane pour… 89 dollars.
Et mauvaise nouvelle, ce faux site est actuellement disponible sur le web français. Cette contrefaçon pourrait-elle remonter un jour dans les requêtes de Google pour évincer l'originale ?
"Les escroqueries sont redoutablement efficaces.
Comme ils créent leurs contenus depuis la Russie, personne ne les poursuivra. Ils réutilisent les méthodes éprouvées durant les périodes de grands froids numériques : ils conçoivent des sites qui usurpent l’identité de véritables plateformes pour détourner le trafic.
Et cela ne touche pas seulement les voyageurs russes, mais tout le monde. Vous savez, Groupama a mis trois ans à récupérer 39 noms de domaine créés pour usurper sa marque.
En cas d’usurpation, les recours sont très limités. Si le site frauduleux utilise une extension en .fr, on peut saisir l’AFNIC, l’agence chargée des noms de domaine. Pour les autres… la bataille est longue et coûteuse.
À moins qu’ils n’utilisent une extension exotique comme .spu ou issue d’îles lointaines, là… il ne reste que les yeux pour pleurer.
Il faut convaincre les moteurs de recherche de déréférencer l’usurpateur," conclut Damien Bancal.
Pour être en sécurité, il faut être informé et prévoyant.
Publié par Romain Pommier 
![Les fleuves, nouvel eldorado des compagnies de croisières [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/89004933-62988817.jpg?v=1748974491 "Les fleuves, nouvel eldorado des compagnies de croisières [ABO]")
![Un salarié sur quatre sera aidant en 2030 : êtes-vous prêts ? [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/88972569-62969258.jpg?v=1748939665 "Un salarié sur quatre sera aidant en 2030 : êtes-vous prêts ? [ABO]")
![Droits des passagers : une journée décisive pour éviter un rabotage en règle ! [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/89037291-63013938.jpg?v=1749055115 "Droits des passagers : une journée décisive pour éviter un rabotage en règle ! [ABO]")
![Adult only : la croisade anti enfants malvenue et dangereuse ! [ABO]](https://www.tourmag.com/photo/art/large_16_9/88841627-62860841.jpg?v=1748364048 "Adult only : la croisade anti enfants malvenue et dangereuse ! [ABO]")
![J.-D. Urbain : « Le voyage est une vie alternative dans une vie ordinaire » [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/88745297-62814124.jpg?v=1747999158 "J.-D. Urbain : « Le voyage est une vie alternative dans une vie ordinaire » [ABO]")
![Hôtellerie mondiale : les 7 géants qui dominent le marché [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/88700717-62789339.jpg?v=1747842282 "Hôtellerie mondiale : les 7 géants qui dominent le marché [ABO]")
![Tourisme : la Grèce en fait-elle trop et est-ce dommage ? [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/88569669-62718352.jpg?v=1747318812 "Tourisme : la Grèce en fait-elle trop et est-ce dommage ? [ABO]")
