Journal du Geek révèle que les données personnelles et bancaires volées lors de piratages de comptes Booking.com sont déjà exploitées par des cybercriminels pour des tentatives d’escroquerie en ligne. Une pratique en hausse qui expose les clients à des risques financiers immédiats.

Ce qu'il faut retenir

  • Les données volées sur Booking.com incluent coordonnées, numéros de cartes bancaires et réservations confirmées
  • Des messages frauduleux se font passer pour des hôtels ou Booking.com afin de voler des informations complémentaires
  • Les cybercriminels utilisent des technique d’ingénierie sociale pour maximiser leurs chances de succès
  • Les victimes peuvent être contactées dans les minutes suivant leur réservation
  • Booking.com n’a pas encore communiqué sur des mesures correctives globales

Une nouvelle forme d’escroquerie en temps réel

Depuis plusieurs semaines, des utilisateurs de Booking.com signalent recevoir des messages alarmants prétendant provenir de leur hôtel ou de la plateforme elle-même. Ces SMS ou e-mails urgents demandent de confirmer un paiement ou de mettre à jour des informations bancaires, sous peine de voir leur réservation annulée. Or, ces communications sont l’œuvre de pirates informatiques ayant infiltré des comptes clients.

Selon les témoignages recueillis par Journal du Geek, les malfaiteurs exploitent des bases de données volées contenant non seulement les coordonnées des voyageurs, mais aussi les détails de leurs réservations en cours. Autant dire que la crédibilité de ces messages est renforcée, puisque les victimes reconnaissent parfois l’hôtel ou les dates mentionnés.

Des techniques d’usurpation sophistiquées

Les cybercriminels ne se contentent pas d’envoyer des messages génériques. Ils personnalisent leurs demandes en s’appuyant sur des informations précises : nom de l’établissement, dates de séjour, voire montant approximatif de la réservation. Cette approche, appelée phishing contextuel, réduit considérablement les doutes des victimes potentielles.

D’après les experts en cybersécurité consultés par Journal du Geek, les pirates utilisent des serveurs de messagerie piratés ou des adresses e-mail imitant celles de Booking.com, avec des domaines proches du légitime (ex : [email protected] au lieu de [email protected]). Les liens inclus dans ces messages redirigent vers des pages clones, souvent hébergées sur des serveurs étrangers.

Un préjudice financier et une méfiance accrue

Les conséquences pour les victimes peuvent être lourdes. Une fois les données bancaires communiquées, les escrocs procèdent à des retraits frauduleux ou à des achats en ligne. Dans certains cas, ils modifient également les réservations pour rediriger les clients vers des établissements inconnus, leur faisant perdre leur réservation initiale.

Les associations de consommateurs appellent à la prudence. « Ne communiquez jamais vos informations bancaires par SMS ou e-mail, même si le message semble officiel », rappelle une porte-parole de l’UFC-Que Choisir. Elle conseille de contacter directement l’hôtel via un numéro vérifié ou de se connecter à son compte Booking.com depuis l’application officielle pour vérifier l’authenticité de la demande.

Et maintenant ?

Booking.com n’a pas encore annoncé de mesures globales pour renforcer la sécurité de ses utilisateurs. Une mise à jour de son système de détection des comptes compromis pourrait intervenir d’ici fin juillet 2026, selon des sources internes citées par Journal du Geek. Par ailleurs, les autorités françaises (ANSSI et DGCCRF) ont été saisies pour enquêter sur l’origine de ces fuites de données. Les utilisateurs sont invités à activer la double authentification sur leur compte et à surveiller leurs relevés bancaires dans les jours suivant une réservation.

Comment réagir en cas de suspicion ?

Les plateformes spécialisées en cybersécurité recommandent une procédure précise en cas de doute. D’abord, ne pas cliquer sur les liens contenus dans les messages suspects. Ensuite, signaler le compte compromis via le formulaire dédié de Booking.com ou directement à sa banque pour faire opposition sur la carte utilisée. Enfin, changer immédiatement le mot de passe du compte Booking.com et activer les alertes transactionnelles.

Les professionnels du secteur soulignent que cette vague d’arnaques pourrait s’étendre à d’autres plateformes de réservation en ligne, faute de régulation renforcée. « Les cybercriminels ciblent les services où les données sont centralisées, explique un expert en cybersécurité. Booking.com, avec ses millions de réservations annuelles, est une cible de choix. »

Plusieurs indices permettent de repérer une tentative d’arnaque. D’abord, vérifiez l’adresse e-mail ou le numéro de téléphone : Booking.com n’utilise que des domaines officiels (@booking.com) et des numéros certifiés. Ensuite, méfiez-vous des messages urgents ou menaçants (« Votre réservation sera annulée sous 24h »). Enfin, ne cliquez jamais sur un lien : connectez-vous directement sur l’application ou le site officiel via votre navigateur.

Pour l’heure, Booking.com ne couvre pas les préjudices financiers liés à ce type d’escroquerie dans ses conditions générales. La plateforme recommande uniquement d’activer la double authentification et de signaler tout compte suspect. Aucune assurance dédiée n’est proposée aux clients, contrairement à d’autres secteurs comme les paiements en ligne.