Avec l’approche des départs estivaux, les tentatives d’escroquerie ciblant les particuliers à la recherche d’un hébergement se multiplient. Selon une étude de McAfee relayée par des spécialistes, 35 % des voyageurs français déclarent avoir déjà été confrontés à une arnaque liée au voyage. Parmi eux, la moitié indique avoir perdu plus de 250 euros. Ces chiffres illustrent l’ampleur d’un phénomène qui pousse les autorités et les entreprises de sécurité à renforcer la vigilance.
Une menace sophistiquée venue des plateformes
Les cybercriminels ciblent désormais les infrastructures mêmes des sites de réservation. Norton, société spécialisée dans la cybersécurité, a mis en lumière une technique où les pirates envoient des messages frauduleux directement depuis le système de messagerie légitime de Booking.com. Ces courriers reprennent l’intégralité des éléments authentiques de la plateforme – charte graphique, mise en page, en-têtes – ce qui les rend particulièrement difficiles à distinguer d’une communication officielle.
L’objectif est d’inciter la victime à cliquer sur un lien redirigeant vers une page de phishing très réaliste. Celle-ci intègre plusieurs ressorts psychologiques destinés à rassurer l’utilisateur ou à créer un sentiment d’urgence, comme la mention d’une annulation gratuite, d’une politique de remboursement ou encore d’une disponibilité limitée. Les escrocs poussent alors la personne à effectuer une prétendue vérification de sa carte bancaire via une autorisation de paiement temporaire, en l’alertant sur un risque d’annulation de la réservation ou sur un nombre limité de tentatives autorisées.
Abhishek Karnik, responsable de la recherche chez McAfee, explique que « l’augmentation constante des coûts du voyage modifie radicalement le comportement des consommateurs. Quand l’offre est rare et les prix élevés, les gens agissent plus vite. Les escrocs en profitent pour usurper l’identité des marques de confiance ».
Les trois signaux d’alarme à connaître
Les experts s’accordent sur un ensemble d’indices qui doivent éveiller les soupçons d’un voyageur.
Le premier est le mode de paiement. Toute demande de virement bancaire direct ou de paiement via un lien externe à la plateforme de réservation doit être considérée comme suspecte. Les plateformes légitimes proposent presque toujours un paiement sécurisé intégré.
Le deuxième signal est l’urgence artificielle. Les messages qui insistent sur une disponibilité très limitée, un risque d’annulation immédiate ou un nombre restreint de tentatives de paiement visent à court-circuiter la réflexion de la victime.
Enfin, le troisième indice est la vérification de l’identité du propriétaire ou de l’établissement. En cas de doute, il est recommandé de contacter directement l’hôtel ou le loueur via un numéro de téléphone ou un e-mail trouvé sur son site officiel – et non via les coordonnées fournies dans le message suspect.
L’hôtel, première porte d’entrée des cybercriminels
Selon Luis Corrons, chercheur chez Norton, les plateformes de réservation sont le plus souvent compromises par des campagnes de phishing visant le personnel des hôtels. Les cybercriminels usurpent l’identité de Booking.com et envoient à l’hôtel un faux e-mail de facturation contenant un PDF piégé. Une fois les identifiants volés, ils peuvent se faire passer pour l’établissement et piéger les internautes.
En France, 35 établissements hôteliers auraient ainsi été compromis, soulignant la vulnérabilité du secteur. Les arnaques les plus fréquentes dans l’Hexagone incluent les faux sites de réservation, les annonces frauduleuses de locations de vacances, les arnaques à la location de voitures et les fausses agences de voyage.
Une arnaque spécifique : le « Reservation Hijack »
Une forme particulièrement redoutable d’escroquerie a été identifiée sous le nom de « Reservation Hijack scam ». Dans ce cas, les cybercriminels disposent de véritables informations de réservation, dérobées lors d’une compromission antérieure. Ils contactent ensuite la victime en se faisant passer pour l’hôtel ou la plateforme, et lui demandent de confirmer ou de mettre à jour ses données bancaires sous peine d’annulation. Le réalisme des informations utilisées rend cette arnaque très difficile à détecter.
Les experts recommandent de ne jamais cliquer sur un lien contenu dans un message non sollicité, même s’il semble provenir d’une source connue, et de toujours se connecter directement au site officiel de la plateforme pour vérifier l’état d’une réservation.
