Une demande de paiement ou de vérification bancaire reçue juste après une réservation sur Booking peut correspondre à une fraude ciblée. Pour le client, la difficulté est la même à chaque fois : distinguer une relance normale d’une arnaque construite pour paraître légitime.
Pourquoi ces messages trompent facilement les voyageurs
Le succès de cette fraude tient moins à sa sophistication technique qu’à son sens du timing. Le message n’arrive pas au hasard : il apparaît lorsque le client vient de réserver un voyage, attend une confirmation, une précision sur le séjour ou une éventuelle formalité de paiement. Dans cet intervalle, tout semble plausible. Un e-mail ou un SMS évoquant une carte à mettre à jour, un acompte à régler ou une réservation à confirmer ressemble à une simple suite administrative. C’est précisément cette proximité avec une vraie transaction qui brouille la vigilance du voyageur.
Booking fixe pourtant une règle claire dans ses consignes aux voyageurs. La plateforme rappelle qu’« aucune transaction légitime, qu’il s’agisse d’un paiement ou d’une modification de réservation, ne vous demandera de payer avec des cartes-cadeaux ni de communiquer vos données bancaires par téléphone, SMS ou e-mail », indique Booking. Cette phrase a une portée très concrète : dès qu’un message sort de ce cadre, le doute doit l’emporter sur le réflexe de payer vite.
Le problème, c’est que ces faux messages ne ressemblent plus aux vieilles campagnes d’hameçonnage. Le site Clubic décrit un scénario où le voyageur retrouve son nom, ses dates de séjour et parfois le montant de la transaction dans un message envoyé peu après la réservation. Les fraudeurs utilisent les mêmes canaux qu’un vrai établissement, qu’il s’agisse du SMS, de l’e-mail, de WhatsApp ou de la messagerie liée à la réservation. Le piège n’est donc pas seulement le contenu du message, mais sa parfaite insertion dans le parcours d’achat.
Ce que révèle la montée des comptes compromis dans l’hôtellerie
L’autre évolution marquante est que le risque ne part pas toujours du client. Microsoft a documenté en mars 2025 une campagne visant les professionnels du secteur hôtelier en usurpant l’identité de Booking.com. Le groupe explique ainsi qu’« à partir de décembre 2024, à l’approche de certaines des journées les plus chargées pour les voyages, Microsoft Threat Intelligence a identifié une campagne d’hameçonnage usurpant l’identité de Booking.com et ciblant des organisations du secteur de l’hospitalité ». L’enjeu n’est pas anecdotique : selon Microsoft, cette campagne cherchait à voler des identifiants et à favoriser des fraudes financières.
Ainsi, un message crédible peut être nourri par une compromission en amont, du côté d’un hôtel ou d’un partenaire. Cybermalveillance.gouv.fr le formule sans détour dans son rapport d’activité 2025, en mentionnant des cas de « piratage de compte Booking.com d’hôtels menant à des tentatives d’hameçonnage ciblé auprès des clients de l’établissement ».
Booking.com, cité par Clubic, affirme que « les systèmes de Booking.com n’ont pas été compromis ni piratés » et explique que certains partenaires d’hébergement ont en revanche été visés par des tentatives de phishing ayant conduit, dans certains cas, à un accès non autorisé à leur compte. Le risque ne passe pas nécessairement par un piratage global de la plateforme, mais peut tout de même produire un message qui semble parfaitement authentique.
Les bons réflexes ne consistent pas à repérer un « faux » message, mais à vérifier autrement
Le mauvais réflexe consiste à se demander si le message « a l’air vrai ». Les fraudeurs ont justement construit leur méthode pour que la réponse soit oui. La bonne question est ailleurs : la demande respecte-t-elle le mode de fonctionnement normal de la plateforme et les conditions de réservation ? Booking recommande de vérifier les politiques de l’établissement avant d’envoyer quoi que ce soit, et de ne pas payer une somme qui ne figure pas dans les conditions annoncées. La plateforme alerte aussi sur les messages jouant sur l’urgence, par exemple une injonction à transférer l’argent dans les 24 heures sous peine d’annulation.
Pour un voyageur, la règle la plus utile est donc de sortir du scénario imposé par le message reçu. Il faut rouvrir soi-même l’application ou le site officiel, consulter la réservation, puis contacter l’hébergement ou le support via des coordonnées retrouvées indépendamment du SMS ou de l’e-mail suspect. Clubic rappelle d’ailleurs qu’en cas de doute, il vaut mieux rechercher les coordonnées officielles de l’hôtel sur son propre site plutôt que de cliquer sur un lien de paiement reçu par message. Cette vérification paraît banale, mais elle remet le client dans une logique de contrôle au lieu de le laisser dans la mise en scène de l’urgence.
L’enjeu dépasse enfin le seul cas Booking. Le rapport 2025 de Cybermalveillance.gouv.fr classe le piratage de compte comme menace n°2 pour les particuliers, avec 11,6% des demandes d’assistance recensées. Cela ne signifie pas que chaque réservation devient suspecte, mais que les cybercriminels exploitent désormais avec méthode les environnements où les consommateurs ont l’habitude de payer vite, de répondre vite et de faire confiance à un échange qui semble familier. Le secteur du voyage concentre précisément ces trois fragilités.
