« Bonjour Sam, c’est Anna, la gérante de l’établissement Paradise Blue* », voici comment débute le message WhatsApp qu’un proche d’un collaborateur de Numerama a reçu à la mi-novembre 2025.
Photo de profil rassurante, ton professionnel, nom du proche, nom de l’établissement, dates des vacances… tout y est et tout est correct. Même la plateforme mentionnée pour la réservation, en l’occurrence booking.com, correspond à la réalité.
Le séjour n’est prévu que dans quelques mois, mais l’interlocutrice attire l’attention sur une nouvelle politique, soi-disant mise en place par la plateforme de réservation, exigeant des vérifications supplémentaires sur les informations bancaires. Le message invite à cliquer sur un lien pour fournir ces informations.
Surpris et prudent, le proche ciblé ne tombe pas dans le piège. On soupçonne alors un piratage massif de booking.com, comme bon nombre d’internautes, mais il n’en est rien.
Ce message est en réalité l’aboutissement d’une vaste campagne cybercriminelle baptisée « I paid twice » (« j’ai payé deux fois » en français), dévoilée par les chercheurs de l’entreprise de cybersécurité Sekoia début novembre 2025. Contrairement aux apparences, la première cible de l’attaque n’est pas le client, mais l’hôtel lui-même.
Les hôtels deviennent le vecteur de l’attaque
En effet, pour collecter des informations aussi précises, les assaillants ne s’en sont pas pris directement aux plateformes de réservation mais à des cibles bien plus perméables : les établissements hôteliers.
La chaîne d’intrusion débute par l’envoi d’un mail malveillant à l’adresse de réservation ou d’administration de l’hôtel ciblé. L’objet du message évoque une demande client, du type : « Nouvelle réservation de dernière minute », tandis que le corps du mail reprend avec précision l’identité visuelle de Booking.com.
Ce mail contient une URL qui guide le réceptionniste, le gérant ou un autre employé de l’établissement vers un site administré par les pirates. Le piège principal réside dans le faux CAPTCHA de sécurité qui apparaît lors de la visite du faux site.
Pour accéder au prétendu extranet Booking.com, la victime est invitée à réaliser une série d’actions supposées anodines. Cette technique d’attaque, baptisée ClickFix, incite ici l’employé à copier-coller et exécuter une commande PowerShell dans l’outil de commande Windows, ce qui installe alors un malware sur la machine.
Le mal est fait : les assaillants prennent alors discrètement le contrôle du compte professionnel de l’établissement. Toutes les informations sur les réservations futures des clients deviennent accessibles, sont revendues sur le dark web, et l’étape suivante de phishing vers les clients peut débuter.
Les hôtels se retrouvent ainsi, malgré eux, complices d’une arnaque ultra-ciblée.
Une attaque qui dure depuis plusieurs mois
Selon Sekoia, cette campagne serait active depuis au moins avril 2025 et ne montre aucun signe de ralentissement. Il faut dire que le mécanisme utilisé par les cybercriminels est désormais bien huilé : les chercheurs ont pu récupérer des templates de messages imitant parfaitement l’apparence et le ton des communications de booking.com. Il ne reste alors qu’à compléter les champs manquants avec les informations récoltées lors de la compromission de l’établissement hôtelier et d’envoyer le message sur le numéro de téléphone ayant effectué la réservation.
La victime, si elle se laisse tromper, clique sur le lien et atterrit sur un site reprenant également le design de booking.com. L’objectif ? L’inciter à renseigner ses informations de paiement sur la page contrôlée par les assaillants.
La qualité des données collectées fait toute la force de l’attaque. Dans l’un des liens consultés par Numerama, le prix exact de la réservation figurait sur le faux site, bien que, dans un autre cas, le montant affiché était complètement erroné.
L’analyse technique de Sekoia indique que l’adresse IP rattachée à ces sites de phishing pointe vers la Russie et précise que d’autres plateformes de réservation, comme Expedia, sont elles aussi usurpées.
Petit rappel d’hygiène numérique : pour toute opération bancaire liée à une réservation, ne cliquez jamais sur un lien dans un message, aussi crédible qu’il paraisse. Prenez en main votre navigation et rendez-vous directement sur le site officiel de la plateforme en saisissant l’URL dans votre navigateur ou en passant par un moteur de recherche.
* Le nom du destinataire et de l’établissement hôtelier ont été modifiés.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !