Going the Extra Mile: Travel Rewards Turn into Underground Currency.

1 minute de lecture

Mis à jour : March 12, 2026

Monétisation des programmes de fidélité : les miles aériens comme nouvelle monnaie souterraine

Les programmes de fidélité des compagnies aériennes et des chaînes hôtelières sont devenus une cible lucrative pour la cybercriminalité. Les récompenses accumulées par les utilisateurs sont détournées et revendues sur des marchés souterrains comme des commodités, générant des pertes annuelles estimées entre 1 et 3 milliards de dollars.

Points clés :

Cycle de fraude structuré : Le processus repose sur le vol de comptes (via malware ou phishing), l’identification des soldes de points, la conversion en billets ou réservations d’hôtel, puis la revente de ces services à prix réduit.
Économie organisée : Les groupes Telegram spécialisés fonctionnent comme de véritables places de marché où des vendeurs réguliers proposent des inventaires massifs de comptes compromis.
Cibles privilégiées : Les grands programmes (United, Delta, Marriott, Hilton) sont les plus visés en raison de la liquidité élevée de leurs points, de leur interopérabilité (alliances aériennes) et de la valeur monétaire des billets “prime”.
Prix du marché : Le coût moyen constaté est d’environ 1 $ pour 1 000 miles. L’accès à l’e-mail lié au compte est souvent inclus dans la vente pour empêcher le propriétaire légitime de récupérer l’accès.

Vulnérabilités exploitées :

Compromission d’identifiants : Utilisation massive d’infostealers (logiciels espions), d’attaques par force brute et de credential stuffing (réutilisation d’identifiants volés ailleurs).
Manque de surveillance : Contrairement aux comptes bancaires, les soldes de points de fidélité sont rarement contrôlés quotidiennement par les victimes, offrant une fenêtre d’action prolongée aux fraudeurs.

Recommandations :

Gestion des accès : Activer systématiquement l’authentification multifacteur (MFA) sur les comptes de fidélité.
Hygiène numérique : Utiliser des mots de passe uniques pour chaque compte afin de limiter l’impact du credential stuffing.
Surveillance active : Consulter régulièrement les soldes de points pour détecter toute activité inhabituelle ou transaction non autorisée.
Protection des endpoints : Utiliser des solutions de sécurité robustes pour prévenir l’infection par des logiciels de type infostealer qui dérobent les identifiants stockés dans les navigateurs.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Going the Extra Mile: Travel Rewards Turn into Underground Currency.

Monétisation des programmes de fidélité : les miles aériens comme nouvelle monnaie souterraine

Partager sur

Vous pourriez aimer

Veeam Patches 7 Critical Backup & Replication Flaws Allowing Remote Code Execution

Vulnérabilités critiques dans Veeam Backup & Replication

Storm-2561 Spreads Trojan VPN Clients via SEO Poisoning to Steal Credentials

Campagne de vol d’identifiants VPN par Storm-2561 via SEO Poisoning

Starbucks discloses data breach affecting hundreds of employees

Violation de données chez Starbucks : 889 comptes employés compromis

RIP RegPwn

RegPwn : Élévation de privilèges via les fonctionnalités d’accessibilité Windows