Ces derniers mois ont vu une recrudescence des attaques contre les agences de voyages sur tout le territoire algérien. Généralement issues de pays d’Afrique Occidentale, ces attaques informatiques visent principalement les comptes email d’utilisateurs et d’administrateurs des selling platforms connect d’Amadeus.
L’attaque se présente sous la forme d’un mail présentant une offre business alléchante. Un fichier, généralement de type Microsoft Word, est attaché en joint au message et prétend détailler l’offre décrite dans le mail. En réalité, le fichier word de type doc (ou docx) renferme un script informatique, communément appelé “macro”, qui sert normalement à automatiser certaines tâches au sein de la suite Microsoft Office. Il sert par exemple à automatiser l’envoi d’un email grâce au logiciel Outlook de la suite à n’importe quel contact dans le répertoire de ce dernier.
Dans un premier temps, le script malveillant contenu dans le fichier word s’applique à envoyer une copie de lui même à tous les contacts dans le répertoire Outlook de la victime. Cela permet une propagation rapide et efficace du malware au sein de toute une corporation (ici celle du Tourisme). Ensuite, nous soupçonnons le virus de rechercher au sein des mails (et peut être des cookies des navigateurs) toute information relative aux accès aux plateformes: typiquement un user et un mot de passe. Il suffirait qu’un seul email, sauvegardé par Outlook, contienne des données d’accès pour que ces données soient directement envoyées vers la messagerie des hackers. Ceci permettra, ultimement, des usurpations d’identités et des reventes de réservations au marché noir.
En guise de conclusion, nous conseillons aux utilisateurs des agences de voyage de :
1- Abandonner l’utilisation d’Outlook comme messagerie principale : Outlook étant un logiciel de la suite Microsoft Office, il sera toujours vulnérable aux attaques par macros. Gmail est une excellente alternative complètement insensible à ce genre de failles.
2- Désactiver l’exécution automatiques de macros : cette option est disponible dans le panneau des préférences de tous les produits Office. Une fois cochée, toute exécution automatique de macro sera détectée et votre autorisation demandée. Autorisation que vous ne donnerez jamais.
3- Confirmer l’envoi de documents Microsoft Office à la source : ce genre de mail suspect viendra toujours au nom de personnes de confiances (collègues, supérieurs, amis etc). Confirmez toujours auprès de l’expéditeur s’il a bien envoyé le fichier (par téléphone, message ou mail)
4- Ne jamais garder de mails contenant des informations de connexion : nous savons qu’il est bien pratique de préserver les mails contenants des mots de passe pour les cas d’oubli. Cependant, c’est une mauvaise habitude qu’il faut bannir complètement tant le risque sécuritaire est grand.
5- Établir un code de bonne conduite informatique au sein de l’agence : ce code intérieur devra être scrupuleusement suivi par tous les agents de l’établissement. Il contiendra des clauses telles que: la confidentialité relative aux informations de connexions, l’installation et la mis à jour des logiciels d’antivirus, la préservation de mail contenant des mots de passe, le bannissement de certains logiciels connus pour leurs failles ou faible sécurité etc.
6- Créer un poste de SSI au sein de l’organisme : une fois que l’agence a atteint une taille critique en termes de nombre d’employés, un service de sécurité informatique devient nécessaire pour garantir le respect des agents des règles de sécurité et de bonne conduite informatique.
EN