En utilisant le numéro d’accréditation IATA valide d’une agence et son code PCC GDS, un individu a tenté d’accéder aux connexions NDC des compagnies aériennes.
L’American Society of Travel Advisors (ASTA) met en garde l’industrie nord-américaine du voyage et veut la sensibiliser à un important incident de fraude.
Rapporté par l’ACTA, celui-ci implique l’utilisation non autorisée du numéro d’accréditation IATA d’une véritable agence de voyages, ainsi qu’une tentative d’exploitation des processus d’intégration NDC des compagnies aériennes.
Un fraudeur venu d’ailleurs
Selon ce que rapporte l’ASTA, un fraudeur opérant depuis le Brésil et d’autres endroits à l’international a utilisé le courriel d’une agence afin d’usurper l’identité d’une entreprise de voyages légitime.
En utilisant le numéro d’accréditation IATA valide de l’agence et son code PCC GDS, et ce sans autorisation, l’individu a tenté d’accéder aux connexions NDC des compagnies aériennes.
Une émission frauduleuse de billets a finalement été effectuée via le canal NDC d’une compagnie aérienne, même si l’agence légitime n’était pas inscrite à cette connexion NDC.
Les billets ont été émis à l’aide de cartes de crédit volées, et les rétrofacturations subséquentes ont mis la fraude en lumière. Des tentatives similaires ont été repérées auprès de plusieurs transporteurs et fournisseurs de connectivité, ce qui indique une activité coordonnée plutôt qu’un incident isolé.
Des systèmes NDC vulnérables?
Comme le souligne l’ASTA, rien n’indique qu’il y ait eu une brèche dans les systèmes GDS ou NDC. La vulnérabilité semble plutôt provenir de contrôles de vérification insuffisants dans certains processus d’intégration NDC des compagnies aériennes.
Dans les cas où la validation reposait principalement sur la confirmation d’un numéro d’accréditation IATA – sans mesures d’authentification supplémentaires – ces identifiants pouvaient être facilement détournés, précise l’ASTA.
L’activité frauduleuse reposait sur des domaines courriel usurpés, l’exploitation d’identifiants d’accréditation légitimes, l’utilisation de moyens de paiement volés et une coordination transfrontalière.
Un risque systémique?
« Cet incident met en évidence un risque systémique pour l’industrie du voyage, indique l’ASTA. Si les contrôles de vérification sont faibles, les identifiants légitimes d’une agence peuvent être utilisés par des fraudeurs pour obtenir un accès non autorisé à la billetterie. À mesure que l’adoption du NDC se poursuit, les processus d’intégration et de validation des identifiants peuvent créer de nouveaux points de vulnérabilité pour les agences comme pour les compagnies aériennes. »
L’ASTA veut encourager ses membres (et ceux de l’ACTA) à examiner régulièrement les rapports BSP (et aux États-Unis, ARC) pour repérer toute activité de billetterie inhabituelle, et à enquêter rapidement sur les rétrofacturations irrégulières ou les demandes de renseignements de compagnies aériennes.
La nécessité d’un suivi
« Il est également crucial d’assurer un suivi centralisé et un contrôle strict des inscriptions NDC au sein des agences, poursuit l’ASTA. Celles-ci devraient limiter le nombre de personnes autorisées à demander ou approuver un accès NDC et surveiller activement les domaines courriel usurpés ou similaires. »
« De plus, il faut confirmer que les compagnies aériennes et les fournisseurs technologiques utilisent une validation de niveau direction et/ou une authentification multifactorielle avant d’accorder un nouvel accès NDC ou portail, poursuit l’ASTA. L’accréditation IATA ne devrait jamais être considérée comme une preuve suffisante d’autorisation. »
L’ASTA ajoute que les agences qui détectent une activité suspecte devraient immédiatement en informer les partenaires aériens concernés ainsi que les équipes de sécurité des GDS ou des fournisseurs technologiques. Les incidents doivent également être signalés aux Services BSP/Agence de l’IATA (ou aux États-Unis, à l’ARC).
