Vous pensez que ce mail vient de Booking.com ? il vous fera perdre des centaines d'euros
Alexandre, jeune gérant d'une maison d'édition, préparait un voyage au Japon. Comme à son habitude, il fait sa réservation sur Booking.com, premier site de réservations d'hôtels en France. Il ne se doutait pas que quelques mois plus tard, il serait à deux doigts de tomber dans un piège vicieux. "Heureusement, on a été méfiant. Parce que beaucoup se font rouler pour moins que ça."
Contrairement à lui, des dizaines voire des centaines de clients se sont fait avoir. C'est le cas de Dylan. Originaire de Bruxelles, il explique à la RTBF, média public belge, que les fraudeurs lui ont soutiré 1 300€. Et pour se faire rembourser, c'est mission impossible. Assureur, banque, Booking... tout le monde se renvoie la balle.
C'est que l'arnaque est particulièrement bien ficelée, car elle se fait directement sur la messagerie interne de Booking. À chaque réservation, pour faciliter la discussion entre l'hôtelier et le client, le site ouvre une messagerie privée. Un environnement qui paraît sécurisé. Pourtant, c'est ici que les pirates piègent les clients.
Le message est presque toujours le même : "Cher client, nous avons le regret de vous informer que votre carte de crédit n'a pas passé le contrôle de sécurité. En conséquence, votre réservation pourra être annulée." Le client est invité à repayer sa réservation, en cliquant sur un lien semblable à celui de Booking. Mais tout est faux. Le virement ne partira jamais vers l'hôtel. "C'est vraiment bien foutu, se souvient Alexandre. Le site me paraissait étrange donc je n'ai pas été plus loin." Quelques minutes après, sur cette même messagerie, Alexandre reçoit une alerte de l'hôtel confirmant que le message d'erreur est frauduleux.
Une arnaque préjudiciable aussi pour l'hôtelier. "On est victime de ces agissements" déplore Fabienne Ardouin, directrice de deux hôtels à Paris et vice-présidente d'un syndicat hôtelier. Pour elle, ces attaques sont une grosse perte de chiffre d'affaires : des clients apeurés annulent leur réservation, d'autres demandent des remboursements. Ça nuit à l'image de l'hôtel.
Comment les pirates font-ils pour avoir accès aux messageries Booking ? Tout simplement avec du phishing. Ici, la technique consiste à envoyer un mail piégé à l'hôtelier. Dans ce message, un lien malveillant leur permet de voler leurs identifiants de connexion. "Certains employés ne sont pas assez formés sur le sujet. Et comme on reçoit des faux mails tous les jours, le pirate arrive à faire une victime, de temps en temps." Ce qui étonne surtout Fabienne Ardouin, c'est le manque d'investissement de Booking. "Ils refusent de porter plainte, empêchant toute procédure judiciaire."
Depuis l'apparition de cette arnaque, Booking a lancé plusieurs fonctionnalités pour mieux protéger les clients et les hôteliers. "Les attaques sont moins fréquentes, mais elles n'ont pas disparu", peste Fabienne Ardouin.
Contacté par notre rédaction, Booking.com dit agir contre les fraudeurs en empêchant un compte suspect de partager des liens, par exemple. Le site assure "renforcer constamment les contrôles de sécurité et offrir des conseils" aux hôteliers. Néanmoins, depuis ces dernières années, Booking observe une hausse importante des cas de phishing, partout dans le monde, à cause notamment de l'intelligence artificielle.