Une agence de voyages corse a été victime de deux piratages informatiques via la plateforme Amadeus Sell Connect, avec plus de 280 000 euros de billets d'avion commandés frauduleusement à son insu. La cour d'appel d'Aix-en-Provence a dû se prononcer sur l'affaire.
En mars et avril 2025, une agence de voyages corse fut victime de deux cyberattaques depuis la plateforme de réservation aérienne Amadeus Sell Connect. Des pirates ont utilisé ses identifiants pour commander plus de 280 000 euros de billets d'avion à son insu. Pour faire la lumière sur les responsabilités, l'agence a saisi la justice contre Amadeus, l'hébergeur de messagerie Gandi et son distributeur Stock2com, en réclamant la désignation d'un expert informatique indépendant chargé de reconstituer le piratage. Le 11 juin 2026, la cour d'appel d'Aix-en-Provence a confirmé l'expertise judiciaire demandée. Clubic, qui a pris connaissance de l'affaire, vous donne toutes les explications.
Comment des hackers ont commandé 280 000 euros de billets via la plateforme Amadeus Sell Connect
Les faits nous emmènent en Corse, au sein d'une agence de voyages qui, comme des milliers de ses homologues, utilise la plateforme Amadeus Sell Connect comme système de réservation. Dans le détail, il s'agit d'un logiciel espagnol très connu, professionnel, qui donne accès en temps réel aux offres et tarifications de centaines de compagnies aériennes et d'hôtels à travers le monde. C'est l'outil central du métier, celui via lequel les agents recherchent, comparent et réservent les billets pour leurs clients, avec leurs propres identifiants de connexion. Et c'est ce système qui va se retrouver au cœur d'une fraude massive.
Les 29 et 30 mars, puis les 19 et 20 avril 2025, deux cyberattaques successives frappent l'agence. À chaque fois, des pirates utilisent ses identifiants de connexion pour passer commande de billets d'avion via Amadeus, pour un total de plus de 280 000 euros prélevés sans son accord. Les investigations révèlent que l'attaque avait été préparée de longue date. Un programme suspect baptisé « Docuflex.exe » avait été installé sur un poste de travail dès le 21 février, suivi d'un cheval de Troie le 27 mars, vous savez, ce type de logiciel malveillant qui s'infiltre discrètement dans un système informatique pour en prendre le contrôle à distance. Et fait aggravant, le nom de domaine e-mail de l'agence (l'adresse sous laquelle tournait toute sa messagerie professionnelle), hébergée chez l'acteur français Gandi, aurait aussi été supprimé durant cette même période.
En juin 2025, l'agence corse a décidé d'attaquer en justice les trois acteurs de son infrastructure numérique. Il y a donc Amadeus, dont la plateforme a servi de vecteur à la fraude ; Gandi, la société qui gérait son nom de domaine et hébergeait sa messagerie professionnelle, et dont les services lui étaient fournis via un intermédiaire, également français, Stock2com. À ce moment-là, l'objectif du voyagiste n'est pas encore d'obtenir des dommages et intérêts, mais d'abord de faire désigner par le tribunal de commerce d'Antibes un expert informatique indépendant, chargé d'ausculter les systèmes de chacun pour déterminer qui a failli et comment les pirates ont pu s'introduire.
Ce qu'Amadeus et Gandi ont opposé à l'agence corse devant les juges
Sans surprise, la société Amadeus se rebiffe. Sur la forme d'abord, elle conteste que le tribunal de commerce d'Antibes soit compétent pour juger l'affaire, en s'appuyant sur une clause contractuelle datant de 1993 qui désignerait les juridictions parisiennes, et en faisant valoir que son logiciel « la Solution » est hébergé sur des serveurs situés hors de France, donc hors du ressort d'Antibes. Sur le fond ensuite, Amadeus réfute toute responsabilité dans le piratage et retourne l'argument contre l'agence, estimant que c'est sa propre sécurité informatique qui était insuffisante. En cause ? Des mots de passe trop faibles, des postes de travail mal protégés, et des mises à jour négligées.
Que dit Gandi ? L'entreprise va jusqu'à contester l'utilité même de l'expertise. Elle explique que les disques durs des ordinateurs de l'agence ont été intégralement remplacés le 28 avril 2025, et qu'une grande partie des données numériques qui auraient pu servir de preuves aurait tout simplement disparu, un peu comme si on cherchait des empreintes digitales sur une surface qu'on vient de poncer. Par ailleurs, Gandi avait déjà refusé, lors des tentatives de règlement amiable, de transmettre ses logs, les indispensables journaux de connexion qui enregistrent automatiquement qui s'est connecté à quoi, quand et depuis quelle adresse IP. Son refus, elle le justifie en disant qu'elle n'aurait pas de lien contractuel direct avec l'agence, ses services étant distribués par l'intermédiaire de Stock2com.
L'agence de voyage, elle, n'en démord pas. Elle reproche notamment à Amadeus d'avoir réagi trop tard. La plateforme disposait d'un système de détection des fraudes qui aurait dû lever une alerte dès les premières réservations suspectes et permettre de bloquer les transactions avant que la facture n'atteigne 280 000 euros. Elle pointe aussi l'absence de démarches d'Amadeus auprès de l'IATA, l'association internationale du transport aérien, et des compagnies concernées, qui auraient pu permettre d'annuler les billets frauduleux et de limiter le préjudice. Enfin, pour elle, le fait qu'une enquête pénale soit parallèlement en cours ne suffit pas, en droit français, à bloquer une expertise judiciaire civile, comme le souhaite Amadeus. Les deux procédures sont ainsi indépendantes et peuvent coexister, d'après le voyagiste. Quelle a été la réponse de la cour d'appel d'Aix-en-Provence ?
Amadeus et Gandi contraints par la justice à livrer leurs logs de connexion
Sur la première question de la compétence, la cour d'appel rejette les arguments des deux sociétés. Concernant la clause contractuelle de 1993 qui désignerait Paris, les juges disent qu'elle peut s'imposer dans le cadre d'un procès au fond, mais pas lorsqu'il s'agit d'une simple mesure d'enquête préventive, comme l'est l'expertise judiciaire réclamée ici, dont l'unique but est de rassembler des preuves avant qu'un éventuel procès ne s'ouvre. La règle du jeu est différente, et le contrat de 1993 n'a donc pas à s'appliquer. Quant au lieu, la réponse est tout aussi tranchée. Le siège social d'Amadeus étant établi à Biot, dans les Alpes-Maritimes, donc dans le ressort géographique du tribunal de commerce d'Antibes, ce dernier est compétent à double titre : en tant que tribunal du lieu où la mesure doit s'exécuter, et en tant que tribunal du domicile du principal défendeur.
Sur le fond, les juges valident sans réserve l'utilité de l'expertise. Ils s'appuient pour cela sur les conclusions de Cybex, la société de cybersécurité mandatée après les piratages. Son rapport du 7 mai 2025 expliquait que faute d'avoir pu accéder aux journaux de connexion de la messagerie de l'agence et de la plateforme Amadeus (ces fichiers qui tracent automatiquement chaque connexion, heure par heure), ses experts n'avaient tout simplement pas pu reconstituer le chemin emprunté par les pirates pour s'introduire dans les systèmes. En d'autres termes, sans ces logs, l'enquête butait sur un mur. C'est pour les obtenir que l'expertise judiciaire a été demandée, et la cour estime que cela suffit à en justifier pleinement l'existence.
La décision du tribunal de commerce d'Antibes est donc confirmée dans sa quasi-intégralité par la cour d'appel. Une seule des neuf missions initialement confiées à l'expert a été supprimée : celle qui prévoyait d'évaluer d'éventuels travaux urgents, une notion empruntée au droit de la construction qui n'a tout simplement aucun sens dans le cadre d'une expertise informatique.
Sur la question des preuves que Gandi estimait avoir disparues avec le remplacement des disques durs, la cour estime que l'agence a bien précisé qu'elle conservait les anciens disques durs et les tenait à la disposition de l'expert, l'argument tombe donc de lui-même. L'expert judiciaire désigné dispose ainsi de l'ensemble des leviers nécessaires. Il pourra examiner ces disques, contraindre Amadeus et Gandi à livrer leurs journaux de connexion, et rendre un avis technique sur les causes des deux cyberattaques et sur la part de responsabilité de chacun. Le vrai procès, lui, reste à venir.
