Recevoir une demande de paiement ou une vérification bancaire peu après avoir réservé un hébergement sur Booking peut indiquer un risque de fraude ciblée. Le défi pour le client réside dans la capacité à discerner une relance légitime d’une arnaque habilement dissimulée. , rapporte TopTribune.
Pourquoi ces messages trompent facilement les voyageurs
La réussite de cette forme de fraude repose moins sur une technologie avancée que sur un timing judicieux. Le message est envoyé lorsqu’un client a récemment effectué une réservation, attendant une confirmation ou un détail concernant son séjour. À ce moment-là, tout semble irrésistiblement plausible. Un courriel ou un SMS demandant de mettre à jour une carte de paiement ou de régler un acompte prend l’apparence d’une simple formalité administrative. C’est cette proximité avec une vraie transaction qui amenuise la vigilance des voyageurs.
Pourtant, Booking a établi une directive claire pour ses utilisateurs. La plateforme précise qu’« aucune transaction authentique, qu’elle concerne un paiement ou une modification de réservation, ne vous demandera de régler via des cartes-cadeaux ou de transmettre vos informations bancaires par téléphone, SMS ou e-mail ». Cette indication est d’une grande importance : dès qu’un message s’écarte de ces normes, il faut privilégier le doute plutôt que d’agir impulsivement.
Le problème réside dans le fait que ces messages frauduleux ne ressemblent plus aux anciennes tentatives de phishing. Un article de Clubic décrit un scénario où le voyageur retrouve ses propres informations personnelles dans des messages envoyés peu après sa réservation. Les escrocs recourent aux mêmes moyens de communication utilisés par de véritables établissements, que ce soit par SMS, par e-mail, via WhatsApp ou par la messagerie associée à la réservation. Ainsi, le piège ne réside pas uniquement dans le contenu, mais aussi dans son intégration harmonieuse dans le processus d’achat.
Ce que révèle la montée des comptes compromis dans l’hôtellerie
Une autre évolution alarmante est que les menaces ne proviennent pas toujours des clients. Microsoft a rapporté, en mars 2025, une campagne ciblant les professionnels de l’hôtellerie, usurpant l’identité de Booking.com. Le rapport indique que « depuis décembre 2024, à l’approche de périodes de forte affluence touristique, Microsoft Threat Intelligence a détecté une tentative de phishing visant des organisations dans le secteur de l’hospitalité ». Les enjeux sont cruciaux : selon Microsoft, cette campagne cherchait à dérober des identifiants et à faciliter des fraudes financières.
Un message crédible peut également provenir d’une compromission antérieure, qu’il s’agisse d’un hôtel ou d’un partenaire. Cybermalveillance.gouv.fr souligne dans son rapport d’activité 2025 qu’il a observé des cas de « piratage de compte Booking.com d’hôtels entraînant des tentatives de phishing ciblées auprès des clients de l’établissement ».
Booking.com, cité par Clubic, affirme que « les systèmes de Booking.com n’ont pas subi de compromission ou de piratage », précisant que certains partenaires d’hébergement ont été ciblés par des tentatives d’hameçonnage qui, dans certains cas, ont conduit à des accès non autorisés à leur compte. Le risque ne provient pas nécessairement d’un piratage généralisé de la plateforme, mais peut néanmoins produire des messages paraissant totalement authentiques.
Les bons réflexes ne consistent pas à repérer un « faux » message, mais à vérifier autrement
La réaction inappropriée serait de se demander si le message « semble vrai ». Les fraudeurs ont conçu leur méthode pour que la réponse soit affirmative. La question pertinente est : la demande respecte-t-elle le cadre habituel de fonctionnement de la plateforme et les conditions de réservation ? Booking conseille de consulter les politiques de l’établissement avant de transmettre des informations ou d’effectuer un paiement qui n’est pas mentionné dans les conditions de réservation. La plateforme met également en garde contre les messages créant un sentiment d’urgence, tels que des instructions de paiement sous peine d’annulation dans un délai de 24 heures.
Pour un voyageur, le conseil le plus avisé est de sortir du schéma imposé par le message reçu. Il est recommandé de rouvrir l’application ou le site officiel pour vérifier la réservation, puis de joindre l’hébergement ou le service clients au moyen de coordonnées retrouvées indépendamment du SMS ou de l’e-mail suspect. Clubic rappelle que, en cas de doute, il est préférable d’accéder aux coordonnées officielles de l’hôtel via son site, plutôt que de cliquer sur un lien de paiement envoyé par message. Cette vérification, bien que simple, permet de replacer le client dans une position de contrôle au lieu de le garder sous la pression d’une prétendue urgence.
Enfin, la problématique va au-delà de la seule situation de Booking. Le rapport 2025 de Cybermalveillance.gouv.fr classe le piratage de compte parmi les menaces majeures pour les particuliers, représentant 11,6% des demandes d’assistance signalées. Cela ne veut pas dire que chaque réservation doit être suspectée, mais les cybercriminels s’adaptent désormais pour exploiter les environnements où les consommateurs ont tendance à agir rapidement, à répondre sans hésitation et à faire confiance à des échanges qui semblent familiers. Le secteur du voyage, par sa nature, rassemble précisément ces trois vulnérabilités.
