À la ruée vers les billets pour Bad Bunny à Madrid s’ajoute un nouveau problème : que ton voyage de rêve se transforme en arnaque à cause de la dernière cyberattaque contre Booking. Ces derniers jours, de nombreux utilisateurs ont fait savoir sur les réseaux sociaux qu’ils avaient réservé un hôtel ou un appartement et qu’ils craignaient désormais, à leur arrivée dans la capitale, de découvrir que cette chambre était déjà occupée ou n’avait jamais existé.
En avril, Booking a reconnu avoir subi une cyberattaque qui a permis à des tiers non autorisés d’accéder à des données liées aux réservations de certains clients. La plateforme elle-même a admis que les pirates ont pu consulter les noms, adresses e-mail, numéros de téléphone et détails des réservations (dates, hébergements, messages échangés), même si elle insiste sur le fait qu’aucune donnée financière, comme les numéros de carte bancaire, n’a été divulguée.
Forts de ces informations, les cybercriminels ont commencé à lancer des attaques de phishing très ciblées: des e-mails, des messages et des WhatsApp contenant les données réelles de la réservation et se faisant passer pour l’hôtel ou Booking afin de demander des paiements supplémentaires, de confirmer de prétendus changements ou de rediriger l’utilisateur vers de faux sites web. L’Institut national de cybersécurité (INCIBE) et la société elle-même préviennent que ces tentatives de fraude pourraient s’intensifier pendant les périodes de forte demande.
Pourquoi cela touche particulièrement ceux qui viennent voir Bad Bunny
Les dix concerts du Portoricain au Riyadh Air Metropolitano vont mobiliser environ un demi-million de personnes entre le 30 mai et le 15 juin, dont beaucoup viennent de l’extérieur de Madrid et ont besoin d’un hôtel ou d’un appartement pour une ou plusieurs nuits. Ce contexte est idéal pour les arnaqueurs : forte saturation des hébergements, réservations effectuées très à l’avance, prix en flèche aux dates clés et fans prêts à chercher des « bonnes affaires » de dernière minute ou à accepter des changements sans trop poser de questions pour ne pas rater le voyage.
À cela s’ajoute un problème de fond que les experts en cybersécurité soulignent depuis des années : Booking autorise l’affiliation d’hébergements avec des contrôles qui ne détectent pas toujours à temps les fausses annonces ou les comptes d’établissements piratés, ce qui ouvre la porte à la publication d’appartements et d’hôtels qui n’existent pas en réalité ou qui sont déjà réservés par d’autres clients. Le résultat, c’est le scénario que beaucoup redoutent et que certains racontent déjà : arriver à Madrid, montrer ta confirmation… et découvrir que cet hébergement est occupé, qu’il ne reconnaît pas ta réservation ou qu’il n’apparaît même pas sur le site parce que le compte a été désactivé suite à la fraude.
Comment ces escroqueries se produisent
Les schémas décrits par les organismes de cybersécurité et les victimes elles-mêmes se répètent.
Quelques exemples :
- Des messages qui arrivent par e-mail, WhatsApp ou SMS, citant ton nom, les dates exactes et l’hôtel réservé, t’avertissant d’un problème urgent : « erreur de paiement », « surréservation », « nécessité de vérifier ta carte pour l’événement de Bad Bunny », etc.
- Des liens qui semblent provenir de Booking ou de l’hébergement, mais qui mènent en réalité à de faux formulaires où l’on te demande à nouveau les données de ta carte bancaire ou un virement « pour garantir la réservation en période de forte demande ».
- De prétendus « changements de dernière minute » proposés par l’établissement lui-même, qui te demandent d’annuler et de payer à nouveau en dehors de la plateforme, ce qui ouvre la porte à des doubles facturations ou au risque de te retrouver sans chambre et sans argent.
Le problème, c’est que comme les pirates disposent des données réelles de la réservation, leurs messages semblent bien plus crédibles qu’un hameçonnage générique. C’est pourquoi Booking et les experts insistent sur un point essentiel : la plateforme ne te demandera jamais les détails de ta carte bancaire ni ne te demandera de paiements supplémentaires via des canaux externes (e-mail, WhatsApp, appels) autres que son application ou son site officiel.
Que recommande l’INCIBE
La plateforme ainsi que des organismes tels que l’INCIBE et les forces de sécurité ont diffusé une série de consignes claires.
Parmi celles-ci :
- Ne partage jamais tes données de carte bancaire par e-mail, téléphone, WhatsApp ou sur les réseaux sociaux, même si le message contient des détails réels de ta réservation.
- Accède toujours à ta réservation en tapant l’adresse de Booking dans ton navigateurou depuis l’application, et non via des liens reçus par message.
- Vérifie tout changement directement auprès de l’établissement en utilisant ses coordonnées officielles (site web, numéro de téléphone vérifié, etc.), et ne cède pas aux pressions pour payer « tout de suite ».
- Si tu penses avoir saisi tes données sur un faux site web, contacte immédiatement ta banque pour bloquer ta carte et porte plainte auprès de la police.
Booking, de son côté, a imposé la réinitialisation des codes PIN des réservations concernées et assure qu’elle renforce ses systèmes, même si elle n’a pas précisé combien d’utilisateurs espagnols sont concernés.