Vous avez réservé un séjour sur Booking il y a quelques heures, et déjà un message anxiogène s’affiche sur votre téléphone ou votre boîte mail. Ce SMS ou cet email vous presse de « vérifier immédiatement votre paiement » ou de « confirmer vos coordonnées bancaires » pour éviter l’annulation de votre réservation. Sauf que l’expéditeur n’est pas l’hôtel ni la plateforme. Ces messages frauduleux, qui exploitent des données volées lors de réservations sur Booking, se multiplient, comme le rapporte Journal du Geek.

Ce qu'il faut retenir

  • Des données personnelles et bancaires récupérées lors de réservations sur Booking servent à cibler les clients avec des messages frauduleux, parfois moins d’une heure après la confirmation de réservation.
  • Les messages frauduleux imitant Booking ou l’hôtel demandent de « vérifier un paiement » ou de « confirmer ses coordonnées bancaires » pour éviter une annulation fictive.
  • Ces techniques d’hameçonnage (phishing) exploitent la crédulité des clients, déjà en attente d’un message de confirmation légitime.
  • Selon des experts en cybersécurité, ces attaques ciblées sont en hausse depuis début 2026, notamment en Europe.

Des données volées utilisées en temps réel

La plateforme Booking.com, l’un des leaders mondiaux de la réservation d’hébergements, est régulièrement ciblée par des cybercriminels. Les données personnelles et bancaires des clients, récupérées lors de piratages ou d’intrusions dans les systèmes de certains hôtels partenaires, sont revendues ou utilisées directement. D’après Journal du Geek, ces informations permettent aux fraudeurs d’envoyer des messages personnalisés, exploitant la confiance naturelle des utilisateurs envers les plateformes qu’ils viennent d’utiliser.

Un exemple récent, rapporté par un utilisateur français, montre un email reçu 45 minutes après sa réservation : « Votre paiement n’a pas été validé. Cliquez ici pour éviter l’annulation de votre séjour ». L’email reprenait le logo de Booking et le nom de l’hôtel réservé, renforçant son apparence officielle. « Le timing est calculé pour profiter de l’attente légitime d’un message de confirmation », souligne un expert en cybersécurité interrogé par le média.

Comment repérer l’arnaque ?

Les messages frauduleux suivent souvent un schéma reconnaissable. D’abord, ils créent un sentiment d’urgence : « Action requise sous 24 heures » ou « Votre réservation sera annulée ». Ensuite, ils demandent des informations sensibles via un lien cliquable, qui redirige vers un faux site imitant Booking ou l’hôtel. Enfin, l’orthographe ou la formulation peut trahir la supercherie : phrases maladroites ou liens menant vers des domaines inconnus (ex : booking-verif-paiement.xyz).

« Booking ne demande jamais de confirmation de paiement par email ou SMS », rappelle un porte-parole de la plateforme, contacté par Journal du Geek. « Tous les messages officiels passent par l’application ou le site, avec un identifiant de réservation clair. » La plateforme recommande de vérifier systématiquement l’expéditeur et de ne jamais cliquer sur un lien douteux. En cas de doute, il est conseillé de contacter directement l’hôtel via ses coordonnées officielles.

Une menace qui dépasse Booking

Si Booking est particulièrement visé, les plateformes de réservation en ligne dans leur ensemble sont concernées. Selon une étude de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) publiée en mars 2026, les attaques par phishing ciblant les réservations ont augmenté de 42 % en un an, avec une prédilection pour les secteurs du tourisme et de l’hôtellerie. Les données volées incluent parfois des numéros de téléphone, permettant aux fraudeurs d’envoyer des SMS, plus difficiles à filtrer que les emails.

Un hôtelier parisien, dont l’établissement a été victime d’un piratage en février 2026, a témoigné auprès du média : « Nous avons reçu des dizaines d’appels de clients paniqués, qui avaient reçu des messages nous accusant à tort de bloquer leurs réservations. Notre réputation a été écornée, alors que nous n’y étions pour rien. » La plateforme Booking a confirmé avoir renforcé ses protocoles de sécurité, mais reconnaît que « le risque zéro n’existe pas » dans un écosystème aussi vaste.

Et maintenant ?

D’ici à l’été 2026, Booking devrait déployer une authentification renforcée pour ses utilisateurs, incluant des notifications push dans son application et une vérification systématique des liens cliquables. Des associations de consommateurs appellent également à une meilleure information des clients, notamment via des campagnes de prévention. Reste à voir si ces mesures suffiront à endiguer une tendance qui profite de la digitalisation croissante du tourisme.

Pour les clients, la prudence reste de mise : avant de cliquer sur un message, même officiel en apparence, une vérification manuelle s’impose. Booking recommande notamment de consulter son compte en ligne ou de contacter le service client via les canaux officiels. Une règle simple, mais qui pourrait éviter bien des désagréments.

D’abord, ne paniquez pas. Contactez immédiatement votre banque pour faire opposition à votre carte si vous avez renseigné vos coordonnées bancaires. Ensuite, signalez l’arnaque à Booking via leur page dédiée (www.booking.com/fr/help) et déposez plainte auprès des autorités compétentes (en France, via le site internet-signalement.gouv.fr). Conservez tous les éléments (emails, SMS, captures d’écran) comme preuves.