Phishing, e-mails compromis et facteur humain : la nouvelle frontière des cyberfraudes visant les voyageurs
L’arnaque qui sait tout de vous
Vous venez de réserver un hôtel sur Booking.com. Confirmation reçue, tout est en ordre. Puis, en l’espace de quelques minutes ou de quelques heures, un message WhatsApp arrive : l’établissement vous informe que le paiement a échoué et vous demande de cliquer sur un lien pour ressaisir les coordonnées de votre carte, sous peine d’annulation de la réservation. Le message semble authentique — et il l’est en partie : il connaît votre nom, le nom de l’hôtel, les dates exactes du séjour et le montant payé. En réalité, il s’agit de l’une des cyberarnaques les plus sophistiquées et en pleine expansion parmi celles qui touchent les voyageurs en Italie et dans toute l’Europe.
Le mécanisme est simple dans sa logique mais raffiné dans son exécution.
Les criminels n’attaquent pas Booking.com de front mais le font « de côté », en frappant le maillon le plus vulnérable de la chaîne : les établissements partenaires. Par le biais d’e-mails de phishing imitant les communications officielles de la plateforme, ils dérobent les identifiants d’accès à l’extranet de l’hôtel — le panneau de gestion où se trouvent toutes les réservations actives avec les noms, les coordonnées, les dates et les montants de chaque client. Une fois à l’intérieur, les escrocs exploitent le système de messagerie interne de Booking pour contacter directement les clients, avec des messages semblant provenir de l’établissement lui-même, et dérobent de l’argent grâce à des messages très crédibles.
Dans de nombreux cas, cependant, le point d’entrée se situe encore plus en amont : la boîte e-mail de l’établissement lui-même. Les escrocs configurent des filtres et des transferts automatiques dans la boîte de réception, sans que le propriétaire de l’hôtel ne s’en aperçoive. La pression psychologique fait le reste : le client reçoit le message sur plusieurs canaux simultanément — e-mail et WhatsApp — avec un ultimatum clair : confirmation sous 24 heures ou la réservation sera annulée. Toute personne sur le point de partir a tendance à agir sans vérifier. C’est exactement ce mécanisme que les experts appellent l’ingénierie sociale : on ne casse pas le code, on brise la personne.
Les victimes sont transversales : non seulement des personnes âgées ou inexpérimentées, mais aussi des professionnels et des voyageurs réguliers. Altroconsumo rapporte des pertes dépassant parfois les 1 500 euros par transaction frauduleuse.
Euroconsumers — le groupe qui réunit Altroconsumo en Italie, Test Achat en Belgique, OCU en Espagne et DECO au Portugal — a envoyé un signalement au Garant de la protection des données néerlandais (où siège Booking.com) avec les demandes suivantes : rappeler à Booking le respect des normes RGPD, en soulignant l’illégitimité de la conduite dans le traitement des données ; ordonner à Booking de mettre en œuvre des mesures techniques et organisationnelles solides ; faciliter le droit de la victime à l’indemnisation prévue par l’art. 82 du RGPD.
Le rôle du DMARC : un bouclier utile, mais pas infaillible
Sur le plan technique, il existe un standard international conçu précisément pour lutter contre l’usurpation d’e-mails : le DMARC, acronyme de Domain-based Message Authentication, Reporting and Conformance. Il s’agit d’un protocole d’authentification qui permet au propriétaire d’un domaine — par exemple booking.com ou nomhotel.fr — de spécifier quels serveurs sont autorisés à envoyer des e-mails en son nom, et de donner des instructions aux serveurs de réception sur la marche à suivre avec les messages qui échouent aux contrôles : les ignorer, les mettre en quarantaine ou les rejeter totalement.
En théorie, un e-mail prétendant provenir de Booking.com mais envoyé depuis un serveur non autorisé devrait être bloqué ou finir dans les spams avant même d’atteindre la boîte de réception du destinataire. Le DMARC, s’il est configuré correctement et avec des critères restrictifs, est un outil efficace contre le spoofing de l’expéditeur — c’est-à-dire la falsification de l’adresse de messagerie. Mais le système n’est pas infaillible : dans certaines configurations plus permissives, des messages non authentifiés peuvent tout de même être délivrés normalement. Et surtout, le DMARC ne peut rien faire si l’attaquant a déjà obtenu un accès légitime au compte e-mail de l’établissement : dans ce cas, le message part d’un serveur autorisé, avec un domaine réel, et aucun filtre ne l’intercepte. C’est donc un outil nécessaire mais insuffisant.
Comment se défendre : les règles essentielles
La bonne nouvelle est qu’il est possible de se défendre, à condition de connaître les signaux d’alerte et d’adopter quelques précautions simples :
• Méfiez-vous toujours de l’urgence : tout message poussant à agir en quelques heures, en menaçant de la perte de la réservation, est le signal classique d’une arnaque. Arrêtez-vous et vérifiez avant d’agir.
• Booking n’utilise pas WhatsApp : la plateforme communique exclusivement via son propre chat interne. Un message WhatsApp se faisant passer pour Booking ou pour l’établissement via Booking est presque certainement faux.
• Ne cliquez pas sur les liens reçus par message : vérifiez toujours l’état de la réservation directement depuis l’application ou le site officiel, en ouvrant votre navigateur de manière autonome.
• Vérifiez l’expéditeur réel : le nom affiché peut être facilement falsifié. Vérifiez l’adresse e-mail complète et le numéro de téléphone, en vous méfiant des préfixes étrangers inattendus (+90, +91, +55 et similaires).
• En cas de doute, appelez l’hôtel : utilisez le numéro trouvé de manière autonome sur Google ou sur le site de l’établissement, et non celui indiqué dans le message suspect. Signalez également l’incident à Booking.com.
Le facteur humain : le maillon faible que nous devons renforcer
Cette arnaque est aussi le miroir d’une vérité dérangeante que les experts en cybersécurité répètent depuis des années sans être assez écoutés : la technologie seule ne suffit pas. Pare-feu de nouvelle génération, systèmes EDR, protocole DMARC — tous sont des outils précieux, mais tous sont contournables dès lors qu’une personne cède à la tromperie. Toute l’architecture de l’attaque repose sur un seul point d’entrée : un employé de l’hôtel qui clique sur un lien de phishing et saisit ses identifiants sur une page factice. Un geste de quelques secondes qui compromet la sécurité de dizaines de clients.
Ce n’est pas une exception : le DBIR 2024 de Verizon indique que 68 % des violations ont impliqué un élément humain non intentionnel, incluant des erreurs (comme des mauvaises configurations du cloud), l’utilisation d’identifiants volés ou le fait d’être victime d’ingénierie sociale.
Le tableau italien est particulièrement préoccupant : le Rapport Clusit 2025 certifie que l’Italie, bien que représentant 0,7 % de la population mondiale, a subi en 2024 10 % des cyberattaques enregistrées au niveau mondial, contre 4 % pour la France et 3 % pour l’Allemagne et le Royaume-Uni. L’ACN — Agence pour la Cybersécurité Nationale — a enregistré au cours du seul premier semestre 2025 une augmentation de 53 % des cyberévénements par rapport à l’année précédente, avec des incidents à impact confirmé ayant presque doublé (+98 %) et des campagnes de phishing parmi les phénomènes en plus forte croissance. Un triste record qui reflète, entre autres, un retard culturel dans la gestion de la sécurité informatique à tous les niveaux.
Former les personnes : pas un coût, mais la véritable défense
Dans le secteur de l’hôtellerie — petits hôtels familiaux, B&B, gîtes ruraux — la formation sur la sécurité informatique est presque inexistante. Il n’y a pas de responsable informatique, il n’existe pas de procédures codifiées pour gérer les e-mails suspects, aucune simulation de phishing n’est effectuée. Des réalités qui deviennent des cibles idéales précisément à cause de ce manque culturel, avant même d’être technologique. Il faut aussi briser une idée reçue dangereuse : celui qui tombe dans un piège de phishing n’est pas nécessairement naïf. Les attaques modernes sont conçues par des professionnels de la manipulation psychologique, optimisées sur des milliers de variantes et parviennent à tromper même des personnes préparées et expérimentées.
Les organisations qui obtiennent les meilleurs résultats adoptent des approches concrètes et continues : des simulations périodiques de phishing pour tester le personnel avec des scénarios réels — suivies de débriefings immédiats pour ceux qui ont échoué au test ; des sessions de mise à jour sur les nouvelles menaces émergentes, et surtout une culture d’entreprise qui valorise le signalement des doutes au lieu de punir ceux qui ont failli se tromper. Sur le plan technique, des mesures minimales comme l’authentification à deux facteurs obligatoire pour tous les accès à l’extranet de Booking auraient empêché la grande majorité des compromissions décrites dans cet article. Il ne s’agit pas de mesures coûteuses ou complexes : il s’agit d’hygiène numérique de base.
Le facteur humain n’est pas seulement une vulnérabilité : il peut devenir la première ligne de défense. Un réceptionniste qui reconnaît un e-mail de phishing et le signale vaut plus que n’importe quel pare-feu. Investir dans la sensibilisation du personnel — par une formation continue, pratique et adaptée même aux petites structures — n’est plus une option. C’est une responsabilité concrète envers chaque client qui réserve des vacances en confiant ses données et son argent à l’établissement. Parce que les vacances doivent rester un moment de détente, et non le début d’un cauchemar informatique.
