Les agences de voyage adorent vous assurer que vos données sont en sécurité. Booking.com vient de rappeler à tout le monde pourquoi c'est une promesse difficile à tenir.
Le géant de la réservation basé à Amsterdam a commencé, le 13 avril, à informer ses clients que des « tiers non autorisés » avaient accédé aux données relatives aux réservations des clients. Les informations compromises comprennent les détails des réservations, les noms, les adresses e-mail, les adresses postales et les numéros de téléphone — en somme, tout ce dont il faudrait pour se faire passer de manière convaincante pour un hôtel contactant un client.
Les malfaiteurs semblent avoir accédé aux données en piratant les sites des hôtels partenaires de Booking.com. Un rapport de Microsoft met en cause la technique de phishing « ClickFix », qui incite les victimes (dans ce cas précis, des employés d'hôtels) à installer un logiciel malveillant déguisé en « correctif » informatique.
Microsoft attribue cette attaque à un groupe criminel appelé Storm-1865, qu'il a surpris en train de mener précisément ce type de campagne contre des employés d'hôtels en Amérique du Nord, en Océanie, en Asie du Sud et du Sud-Est, ainsi qu'en Europe, en déployant des logiciels malveillants dangereux tels que XWorm et VenomRAT via de fausses pages CAPTCHA.
Dans son avis aux clients, Booking.com a averti que les données exposées pourraient être utilisées à des fins d'hameçonnage et a précisé qu'il ne demanderait jamais d'informations sensibles ni de virements bancaires.
Mais les escrocs ont une stratégie éprouvée pour monnayer les données de réservation volées. Ils peuvent détourner une réservation en se faisant passer pour un hôtel, envoyer des messages aux clients pour leur demander un paiement supplémentaire ou les détails de leur carte bancaire sous prétexte d’une « vérification de paiement ». Les données volées leur fournissent tout ce dont ils ont besoin pour convaincre le client de l’hôtel qu’ils sont de bonne foi.
Entre juin 2023 et septembre 2024, l'organisme britannique Action Fraud a reçu 532 signalements d'escroqueries de ce type sur Booking.com, qui ont coûté 370 000 livres sterling (environ 470 000 dollars) aux victimes.
Cela s'est déjà produit auparavant pour les partenaires et les clients de Booking.com. En 2018, des cybercriminels ont piégé des employés d'hôtels et ont accédé aux données de clients de Booking.com. Plus tard dans l'année, des escrocs ont également mené une campagne de hameçonnage vocal visant 40 hôtels aux Émirats arabes unis. Les données de plus de 4 000 clients ont été volées, dont les données de carte de crédit de 300 personnes. Booking.com a signalé la violation avec retard à l'autorité néerlandaise de protection des données, qui lui a infligé une amende de 475 000 € (environ 560 000 $) en 2021.
Le problème récurrent des violations de données dans le secteur du voyage
Ce genre de violations est monnaie courante dans le secteur du voyage. En janvier 2026, Eurail a révélé une violation qui a entraîné la fuite de numéros de passeport, d'adresses et, pour certains voyageurs, de photocopies de pièces d'identité et de données médicales. KLM et Air France ont vu les données de leurs clients dérobées en août 2025. Hertz, Dollar et Thrifty ont toutes été victimes de l'exploitation par le gang Cl0p du logiciel de transfert de fichiers Cleo, les criminels ayant dérobé des permis de conduire et des données de cartes de crédit.
Ce qui est intéressant dans tous ces incidents, c'est que, à l'instar du vol de données chez Booking.com, ils impliquent tous la compromission de tiers plutôt que des agences de voyage elles-mêmes. Le secteur du voyage détient d'énormes quantités de numéros de passeport, de cartes de paiement et d'itinéraires. Et son architecture de sécurité, caractérisée par des chaînes d'approvisionnement tentaculaires, des réseaux franchisés et des plateformes tierces, en fait une cible facile.
Ce que vous pouvez faire
Combien de clients ont été touchés ? Booking.com ne le dit pas. Pour une plateforme qui compte plus de 100 millions d'utilisateurs actifs de son application mobile et 500 millions de visites mensuelles sur son site web, ce silence est inquiétant.
Si vous avez récemment utilisé Booking.com, voici un guide pratique pour vous protéger. Ne faites pas confiance aux messages vous demandant de « vérifier » vos informations de paiement, même s'ils vous parviennent via la plateforme elle-même.
Voici les conseils de Booking.com concernant ces escroqueries, publiés avant ce dernier incident :
« Si aucune politique de prépaiement ni aucune exigence de caution n'est mentionnée, mais qu'on vous demande de payer à l'avance pour garantir votre réservation, il s'agit probablement d'une arnaque. »
Vérifiez dans l'e-mail de confirmation de votre réservation le montant exact que vous devez payer et la date d'échéance. Si quelque chose vous semble suspect, contactez directement l'établissement, plutôt que de passer par un lien que quelqu'un vous a envoyé. Et surveillez vos relevés bancaires. Les escrocs qui exploitent ce type de données ne passent pas toujours à l'action immédiatement.
Quelque chose vous semble bizarre ? Vérifiez avant de cliquer.
Malwarebytes Guardvous aide à analyser instantanément les liens, les messages et les captures d'écran suspects.
Disponible avecMalwarebytes Premium pour tous vos appareils, ainsi que dansMalwarebytes pour iOS Android.
