Norton alerte sur une vague d'arnaques sophistiquée, surtout active en France et en Europe de l'Ouest. Des faux messages arrivent dans les minutes qui suivent une réservation sur Booking.com, directement dans la messagerie interne de l'application, avec votre vrai nom, vos vraies dates de séjour et le montant exact de votre addition. De quoi faire tomber même les plus méfiants.
Le piège des vrais détails
Le mécanisme est redoutable d'efficacité. Vous réservez un hôtel sur Booking, vous payez, vous attendez la confirmation. Tout de suite après, un message arrive via la messagerie officielle de l'app, parfois aussi en SMS ou sur WhatsApp.
Dedans, rien de générique : votre nom complet, les dates exactes de votre séjour, le nom de l'hôtel, le prix total au centime près. Le message vous demande simplement de vérifier vos coordonnées bancaires ou de confirmer le paiement immédiatement, sous peine d'annulation. Voilà qui fait peur hein ? Du coup vous cliquez, vous saisissez vos infos de carte, et voilà toutes vos économies qui s'envolent.
Les hôtels, maillon faible de la chaîne
Booking le répète : ses propres systèmes n'ont pas été piratés. Et c'est vrai. Le problème vient en amont, chez les hôtels partenaires. Les cybercriminels envoient d'abord des emails de phishing aux employés des établissements, qui saisissent leurs identifiants sur une fausse page Booking. Une fois dans le compte de l'hôtel, les escrocs ont accès à toute la base de réservations : noms, dates, montants, tout y est.
Ils peuvent alors s'introduire dans les conversations en cours avec les clients, envoyer des messages depuis le vrai canal officiel, parfois même au milieu d'un échange déjà engagé avec la réception. Microsoft avait documenté dès mars 2025 une campagne massive d'hameçonnage visant spécifiquement les professionnels hôteliers, et le phénomène s'amplifie depuis. Quand la chaîne de sécurité dépend d'un réceptionniste fatigué qui clique sur le mauvais lien, tout le système tombe.
Visuel : Norton
Comment se protéger concrètement
La règle numéro un : ne cliquez jamais sur un lien de paiement reçu par message, quelle que soit la source apparente. Si un doute subsiste, fermez l'application, récupérez le numéro de téléphone de l'hôtel sur son site officiel (pas celui de Booking) et appelez directement pour vérifier.
Un vrai hôtel ne vous demandera jamais de re-saisir vos infos bancaires via un lien externe après paiement. Méfiez-vous des messages qui jouent sur l'urgence, c'est le marqueur principal du scam. Si jamais vous vous êtes fait avoir, faites opposition sur votre carte immédiatement et changez vos mots de passe Booking dans la foulée.
On en dit quoi ?
On a quand même l'impression que Booking se défausse facilement derrière le fait que ses serveurs à lui n'ont pas été piratés. Techniquement c'est vrai, mais côté utilisateur final qui reçoit un faux message dans la messagerie officielle Booking avec toutes ses vraies infos, difficile de faire la différence. La plateforme encaisse une belle commission sur chaque nuit réservée, elle pourrait peut-être mieux sécuriser les comptes partenaires avec du 2FA obligatoire, par exemple. En attendant, il ne vous reste qu'une option : coup de fil direct à l'hôtel, point final.
