Ces clients, parmi lesquels se trouvent des Français, ont reçu un e-mail frauduleux écrit au nom du site de réservation.
Le phishing s'attaque à l'hôtellerie ! Cette arnaque, qui consiste à envoyer un faux e-mail au nom d'une société afin d'obtenir un paiement ou de récupérer des données personnelles, touchait jusque-là essentiellement le secteur bancaire et les réseaux sociaux : qui n'a jamais reçu un faux courrier électronique de sa banque, de PayPal ou de Facebook, demandant de confirmer ses codes secrets sous peine de voir son compte bloqué ?
Cette fois, c'est une star du tourisme qui est touchée : à la suite d'une enquête de la BBC, Booking.com a été obligé de reconnaître la semaine dernière avoir été victime d'une vaste opération d'hameçonnage. Une escroquerie menée cet été, précise-t-on chez Booking France. Cité par la BBC, Peter Kornelisse, responsable de la sécurité du site hôtelier, estime "qu'environ 10 000 personnes avaient été touchées".
Appels d'un faux call center
L'opération a visé des clients aux Etats-Unis, aux Emirats arabes unis, au Royaume-Uni, en Italie, au Portugal et en France, et a été minutieusement préparée. Les escrocs ont d'abord réussi à se procurer des listings de réservations puis ils ont envoyé un e-mail aux clients en demandant le prépaiement des nuitées. Ce phishing était d'autant plus réaliste que certaines victimes ont reçu un appel téléphonique d'un prétendu call center.
Booking ne révèle pas combien de clients ont été bernés mais, selon la BBC, l'arnaque se chiffrerait en milliers d'euros. Quoi qu'il en soit, Booking.com assure avoir remboursé les clients extorqués. Reste à savoir comment les aigrefins ont obtenu les listings de réservations : d'après la BBC, Booking.com réfute toute faille de sécurité et affirme que les données ont été soutirées directement auprès des hôtels, qui eux rejettent la responsabilité sur Booking.
En attendant, Booking France affirme que la sécurisation a été renforcée et qu'une dizaine de sites qui pratiquaient le phishing ont été fermés et leurs comptes bancaires gelés. "Cette problématique est close pour nous", insiste-t-on chez Booking France.
Didier Forray