Booking subit une vague d’arnaques sur ses réservations, notamment en France. Après avoir réalisé une commande, un message de confirmation est envoyé par des pirates au client, et tout est fait pour lui voler de l’argent.
L’application de réservation de voyage Booking.com est au cœur d’une arnaque inédite. Après une réservation sur cette plate-forme, un message récapitulatif de votre commande vous est envoyé avec un lien de confirmation à cliquer. Ce dernier est vérolé et sert juste à arnaquer le client pour voler ses informations bancaires.
Pourtant le message est clair et usurpe le vrai nom du client, les dates de séjour choisies, et le montant exact payé par les vacanciers sont envoyés par SMS ou par WhatsApp juste après leur réservation via la messagerie interne de l’application. Pour parvenir à ce niveau de sophistication, les escrocs passent par des hôtels partenaires piratés afin d’accéder à vos données.
D'après la société spécialisée en cybersécurité Norton, la vague d'arnaques est «surtout active en France et en Europe de l'Ouest». Chaque utilisateur de Booking.com qui a effectué une réservation récente peut être sous la menace d'une escroquerie.
Un message qui met la pression
Comme en atteste la capture d'écran ci-dessous, le voyageur va recevoir un message qui l’incite à faire les démarches rapidement. Le client est invité à «confirmer son paiement» sous peine d’annulation de la commande. Le piège est dangereux, mais rien ne peut soupçonner une quelconque arnaque. Un sous message tente même de rassurer le client en lui rappelant qu'il s'agit d'une simple «routine de sécurité».
Booking.com a confirmé par la suite que ses propres serveurs n'avaient pas été compromis. Des e-mails de phishing sont réalisés pour piéger les employés des hôtels, qui vont saisir leurs identifiants sur de fausses pages. Par la suite, les escrocs parviennent donc à accéder à l’intégralité des réservations.
En mars 2025, Microsoft avait déjà documenté une campagne ciblant les hôteliers. Cependant, le phénomène s'est amplifié depuis.
Booking prend la parole
«Nous sommes conscients que certains de nos partenaires d’hébergement ont malheureusement été ciblés par des tentatives de phishing, envoyées par des criminels professionnels, dans le but de prendre le contrôle de leurs systèmes informatiques locaux. Dans certains cas, cela a conduit à un accès non autorisé à leur compte Booking.com, ce qui a permis à ces fraudeurs d’usurper temporairement l’identité de l’établissement et de communiquer avec les clients.
Le nombre réel d’établissements concernés par cette escroquerie représente une faible proportion de ceux présents sur notre plate-forme, et nous avons pu limiter considérablement l’impact sur nos clients et partenaires grâce à différentes mesures», a tempéré la plate-forme auprès de RMC Conso.
Pour rappel, un établissement légitime ne demande pas de ressaisir des coordonnées bancaires par lien externe.
