Alerte mondiale: des escrocs utilisent des numéros IATA d’agences pour émettre de faux billets

La World Travel Agents Associations Alliance (WTAAA) avertit la communauté mondiale des agences de voyages d’un stratagème de fraude sophistiqué impliquant l’utilisation non autorisée de numéros d’accréditation IATA d’agences pour obtenir un accès NDC auprès de compagnies aériennes et émettre des billets frauduleux.

Dans un avis publié le 2 mars, l’organisation indique que des incidents confirmés ont été signalés dans plusieurs marchés à travers le monde, notamment en Amérique du Nord et en Amérique du Sud. D’autres tentatives ont également été observées dans différentes régions.

La WTAAA indique publier cet avertissement afin de s’assurer que les agences de voyages sont informées de la menace et prennent les mesures nécessaires pour se protéger.

Comment fonctionne la fraude

Selon la WTAAA, les fraudeurs utilisent des domaines de courriel falsifiés ou ressemblant fortement à ceux d’agences de voyages légitimes pour demander un accès NDC ou une inscription aux portails d’agents des compagnies aériennes.

En présentant un numéro d’accréditation IATA valide accompagné d’une identité frauduleuse convaincante, ils ont parfois réussi à obtenir une autorisation d’émission de billets sans que l’agence concernée en soit informée ou y ait consenti.

Une fois l’accès obtenu, des billets sont émis en grand nombre à l’aide de cartes de crédit volées.

L’agence dont les identifiants ont été utilisés découvre généralement la fraude seulement lorsque des avis de rétrofacturation arrivent, moment auquel les pertes financières peuvent déjà être importantes.

Dans un cas confirmé, l’émission frauduleuse de billets a dépassé l’équivalent de 350 000 dollars américains.

La WTAAA précise qu’il n’existe actuellement aucune preuve d’une intrusion dans un système GDS. La vulnérabilité semble plutôt liée aux processus d’inscription et de vérification qui reposent principalement sur la validation du numéro IATA.

« Les agences n’ont rien fait de mal »

Otto de Vries, directeur exécutif de la WTAAA, souligne que les agences touchées dans les cas recensés n’ont commis aucune faute.

« Cela nous rappelle opportunément que, à mesure que notre industrie adopte de nouvelles technologies de distribution, nos pratiques de sécurité doivent évoluer au même rythme. Les agences touchées dans ces cas n’ont rien fait de mal; leurs identifiants ont été utilisés à leur insu », déclare-t-il.

« Nous exhortons toutes les agences à prendre quelques mesures simples pour se protéger et nous appelons les compagnies aériennes et les partenaires technologiques à renforcer leurs processus de vérification au moment de l’intégration NDC », ajoute-t-il.

Mesures recommandées aux agences

La WTAAA invite toutes les agences de voyages à prendre immédiatement certaines mesures de précaution.

Les agences devraient notamment vérifier leurs inscriptions NDC actives et examiner toutes les connexions aux portails de compagnies aériennes ainsi que les ententes NDC associées à leur entreprise. Toute inscription inconnue devrait être examinée et signalée rapidement.

L’organisation recommande également de surveiller régulièrement l’activité BSP et ARC afin de détecter toute émission de billets inhabituelle, en particulier sur des transporteurs ou par des canaux de distribution que l’agence n’utilise pas habituellement.

La WTAAA demande aussi aux agences d’être attentives aux tentatives d’usurpation de domaine, notamment lorsque des adresses de courriel ressemblent à celles de leur entreprise.

Toute activité suspecte devrait être signalée sans délai aux équipes de sécurité des compagnies aériennes et des GDS concernés, ainsi qu’à l’IATA et à l’association nationale d’agences de voyages du marché touché.

Coordination dans l’industrie

La WTAAA indique travailler avec ses associations membres dans différentes régions du monde et continuera de partager des informations à mesure que la situation évolue.

L’organisation appelle également les compagnies aériennes et les partenaires de distribution à revoir rapidement leurs processus d’inscription et de vérification liés au NDC.

Selon elle, la validation d’un numéro IATA à elle seule ne constitue pas une mesure de protection suffisante et des mécanismes de vérification d’identité plus robustes devraient être intégrés aux processus d’accès.

« La WTAAA existe pour donner aux agents de voyages une voix mondiale unifiée, et c’est exactement ce que nous comptons faire ici », affirme Otto de Vries.

« Nous travaillerons avec nos partenaires de l’industrie pour veiller à ce que les mesures de protection nécessaires soient mises en place, non seulement pour les agences touchées aujourd’hui, mais pour toutes celles qui évoluent dans un environnement de distribution de plus en plus numérique », conclut-il.

Pour toute l’actualité du voyage : abonnez-vous à PAX.