Claudia H.*, de Winterthour, espérait simplement profiter de ses vacances en Islande au début de l'été. Mais son enthousiasme s’est vite envolé: après avoir réservé un hôtel via la plateforme Booking, cette lectrice de Blick est la cible de multiples tentatives de phishing par WhatsApp, e-mail et même SMS!
«Ma réservation sur Booking me prend la tête», se plaint la Suissesse. A peine quelques jours, après avoir réservé ses six hôtels de vacances, les problèmes commencent. Un hôtel à Reykjavik la contacte via le chat de l’application Booking. Il lui est réclamé une confirmation immédiate assortie d’un paiement anticipé, faute de quoi la réservation sera annulée.
Des escrocs sur tous les canaux
La Suissesse flaire la tentative d'escroquerie et ne réagit pas: «Tout semblait devoir aller trop vite alors que le paiement n’est normalement exigé qu’après le séjour.» Le lendemain, elle reçoit un nouveau message de l'hôtel. Mais cette fois, ce sont les véritables gérants qui la contactent. Il lui conseille de ne pas répondre au message reçu la veille: il s'agirait bel et bien d'une tentative d'escroquerie visant à obtenir ses données bancaires. L'établissement évoque «un problème mondial».
Mais l’affaire ne s’arrête pas là. D’autres tentatives d’escroquerie suivent, plus subtiles. Des fraudeurs contactent ensuite la graphiste suisse au nom d’hôtels situés à Keflavik et Akureyri, toujours en Islande. Parfois par e-mail, parfois via le chat de la plateforme.
«J’ai été contactée des dizaines de fois, à la fois par des escrocs et par les hôtels eux-mêmes qui tentaient de me prévenir», raconte la lectrice. Elle s’interroge: comment trois des six hôtels qu’elle avait réservés pour son voyage ont-ils pu obtenir ses coordonnées privées? Pour elle, cela ne fait plus guère de doute: «Booking semble avoir un problème de sécurité.»
Les hôtels, la source du phishing
«Il n'y a pas de fuite de données et nous n'avons pas été piratés», répond la porte-parole de Booking Nastja Hansen à Blick. Elle attribue les problèmes à des comptes compromis de partenaires hôteliers. «Dans certains cas, cela a permis à des criminels d'accéder illégalement au compte Booking.com d'établissements.» Les fraudeurs ont ainsi pu se faire passer pour l’hôtel et entrer en contact avec les clients.
Les partenaires hôteliers ont accès au numéro de téléphone des clients afin de pouvoir les contacter. En ce qui concerne les échanges par e-mail, deux cas de figure existent. Les messages envoyés via le chat de l’application Booking sont également transmis par e-mail au client, mais l’hôtel n’a pas accès à l’adresse personnelle de celui-ci.
Pour une communication directe, Booking fournit un alias d’adresse e-mail aux établissements. «Si des cybercriminels parviennent à infiltrer le système informatique d’un hôtel, ils peuvent contacter un client via cet alias», détaille la porte-parole. Même dans cette situation, l'adresse e-mail réelle du client n'est pas révélée.
Toujours rester prudent
Cette information est pourtant déjà suffisante pour tenter d'escroquer les clients. Claudia H., s'étonne que le géant de la réservation ne soit pas mieux protégé contre ce type d'infraction. «La plateforme est une véritable porte d'entrée pour les activités criminelles», lâche-t-elle.
Pour Nastja Hansen, ces incidents restent «rares» au vu du nombre colossal de transactions traitées par Booking. Elle affirme que l’entreprise investit massivement pour lutter contre la montée des fraudes en ligne. La porte-parole précise que l'entreprise utilise des systèmes de détection qui s'améliorent constamment en s'appuyant sur l'intelligence artificielle pour garder une longueur d'avance sur les escrocs.
Désormais, une fenêtre pop-up s’affiche automatiquement dans le chat de Booking pour alerter en cas d’activités suspectes. «Si vous voyez des liens ou des messages inhabituels, ne cliquez pas dessus et n’y répondez pas», avertit la plateforme.
* Nom modifié
