Fram victime d’une tentative de cyber-attaque
Un courrier frauduleux, signé par Isabelle Cordier, invite les agences de voyages à effectuer des paiements sur un compte en Roumanie.
C'est un mode opératoire classique de fraude, contre lequel les TO et autres professionnels du voyage devront s'armer, autant que possible.
"Nous avons été alertés, ce jour, d'une tentative d'escroquerie, visant à modifier les coordonnées bancaires du groupe Fram, explique Isabelle Cordier, directrice générale de Fram, dans un mail envoyé mardi soir à ses partenaires. Le courrier adressé à cette demande, soi-disant signé d'Isabelle Cordier (…), est un faux. Nous n'avons aucunement décidé de centraliser notre comptabilité en Roumanie".
Les coordonnées bancaires du groupe Fram SAS restent de fait inchangées, avec l'ensemble de la gestion financière centralisée à Toulouse. "Il ne faut en aucune façon tenir compte de cette demande de modification des coordonnées bancaires dans le cadre des règlements que vous effectuez", est-il ajouté dans ce courrier.
Un cas classique de phishing
"Nous sommes ici dans une tentative de cyber-attaque par envoi de phishing, visant à récupérer des fonds en usurpant l’identité de Fram", commente Bertrand Pineau, responsable veille, innovation et développement au sein de la Fédération des entreprises de vente à distance (Fevad). Une méthode classique et fréquente, dont sont victimes la plupart des entreprises, dans tous les secteurs. En 2014, Booking avait reconnu avoir été victime de phishing (hameçonnage, ou piratage par usurpation d’identité), et dédommagé les voyageurs lésés.
Ce mode opératoire est l’une des nombreuses formes des cyber-attaques, comprenant aussi les attaques DDOS (déni de service par l’envoi de millions de requêtes visant à saturer le site et le faire tomber), et les intrusions de système d’information. Les hackers effectuent un nombre croissant d’attaques de site web pour collecter des données personnelles comme des noms et des adresses mail, recyclées ensuite en opérations de phishing et en spams. Les fraudes à la carte de paiement – sur la base d'un fichier de coordonnées bancaires exactes vendu parfois quelques dizaines d'euros – résultent aussi de l'hameçonnage.
Comment se protéger ?
"Il faut coder proprement son site, pour qu’il ne soit pas une passoire, recommande Bertrand Pineau. Il est également impératif d’observer des règles élémentaires d’hygiène digitale en interne, avec une communication ad hoc, et de protéger les accès physiques à son système d’information".
"Aucune plate-forme de e-commerce n’est vraiment protégée face aux hackers. Mais les chefs d’entreprise et les responsables e-commerce doivent prendre en compte toutes les dimensions des risques liés à la cyber-criminalité". La Fevad prépare d'ailleurs un livre blanc à ce sujet, qui sera publié en septembre.
Pour aller plus loin
Plusieurs sites permettent aux marchands de se renseigner sur la cyber-sécurité :
- Le service Phishing Initiative, pour lutter contre les attaques
- L’Agence nationale de la sécurité des systèmes d’information
- Le Club de la sécurité de l’information français (Clusif)
- L’Observatoire de la sécurité des cartes de paiement (OSCP), qui note un taux de fraude sur les paiements par carte à distance (par téléphone, courrier ou Internet) en recul (à 0,228% en 2015, contre 0,248 % en 2014), un taux toutefois supérieur à celui des autres transactions.
