Sites de réservation contrefaits : une menace de plus en plus répandue
En naviguant sur internet, il arrive de plus en plus souvent de ne pas atterrir sur les vrais portails de réservation, mais sur des copies parfaites conçues pour vider les comptes bancaires. Les cybercriminels reproduisent fidèlement l’apparence de plateformes comme Airbnb, Booking.com et Expedia, captent le trafic via les moteurs de recherche et les annonces publicitaires, puis disparaissent avec les données personnelles et les paiements de leurs victimes.
Le phénomène prend de l’ampleur à chaque saison, et beaucoup de victimes ne réalisent avoir été escroquées qu’une fois arrivées à l’aéroport ou à la réception de leur hôtel. Les spécialistes de la sécurité informatique alertent sur le fait que ces attaques deviennent chaque année plus sophistiquées et plus difficiles à détecter.
Les escrocs profitent surtout des pics saisonniers de réservations et de la confiance que les voyageurs accordent aux grandes marques. Quand on planifie des vacances, l’esprit est accaparé par la destination, le programme et les valises à préparer — pas par l’éventualité que le site sur lequel on réserve soit entièrement frauduleux. C’est précisément sur cette inattention que les criminels misent.
Une fausse Expedia et un vol pour l’Inde qui n’a jamais existé
Un cas emblématique est celui d’un couple britannique relaté par la BBC. Les deux voyageurs étaient persuadés de réserver un séjour en Inde via la célèbre plateforme Expedia. Le site semblait authentique en tout point : logo, couleurs, structure, tout était identique à l’original. Ils ont payé environ 2 500 livres sterling, soit près de 2 900 euros.
Ce n’est qu’en arrivant à l’aéroport qu’ils ont découvert qu’aucune réservation n’existait dans le système de la compagnie aérienne. Leurs billets n’avaient tout simplement jamais été émis. L’argent s’était retrouvé dans les poches des escrocs, et non sur la vraie plateforme.
Comment cela a-t-il pu se produire ? Les victimes avaient été redirigées vers une page trompeusement similaire à l’originale. Après avoir sélectionné l’offre, elles avaient été invitées à contacter un compte WhatsApp intitulé « Fly Expedia ». L’étape suivante : une demande de virement bancaire, au lieu d’un paiement via le système sécurisé de la plateforme. L’arnaque ressemblait à une réservation en ligne ordinaire — la différence, c’est que toute la transaction avait contourné le système de paiement officiel pour aboutir directement sur le compte des criminels.
L’ampleur du problème : des milliers de faux sites et une perte moyenne de 2 700 euros
Une enquête menée en août 2024 par l’agence OpinionWay pour le compte d’Airbnb révèle que le problème est loin d’être marginal. Pas moins de 48 % des Français interrogés ont déclaré avoir été victimes de cette pratique ou connaître quelqu’un à qui c’est arrivé.
La perte financière moyenne estimée dans ces situations s’élève à environ 2 700 euros. Pour de nombreuses familles, cela représente l’intégralité du budget vacances, parfois des économies accumulées sur plusieurs années. Airbnb indique qu’entre mars 2023 et mars 2024, plus de 2 500 faux sites se faisant passer pour sa plateforme ont été supprimés. Il est important de souligner qu’il s’agit uniquement des sites signalés : le nombre réel pourrait être nettement plus élevé.
Les chercheurs spécialisés dans la cybercriminalité soulignent que ces attaques font appel à des techniques avancées de phishing et de domain spoofing. Les escrocs enregistrent des noms de domaine très proches des adresses originales, avec des différences qu’un utilisateur ordinaire peine à repérer au premier coup d’œil.
Pas seulement Airbnb et Expedia : Booking.com et les chemins de fer également dans le viseur
Les fraudes liées aux réservations touchent aussi d’autres acteurs du secteur. L’association française de consommateurs UFC-Que Choisir signale que la plateforme Booking.com a subi des préjudices particulièrement importants, notamment durant la période des Jeux olympiques de Paris.
Selon l’association, le nombre de tentatives de fraude liées à cette plateforme a augmenté d’environ 900 % en glissement annuel. Ce chiffre illustre l’ampleur avec laquelle les criminels exploitent les grands événements, lorsque les réservations d’hébergement se font en masse. Lors des Jeux olympiques de Paris, de nombreux visiteurs ont été victimes de fausses offres d’hôtels et d’appartements en plein centre-ville.
Les cibles ne se limitent pas à l’hébergement. Les sites des compagnies ferroviaires sont également visés, y compris le transporteur national français. Des pages imitant le portail officiel apparaissent sur le web, attirant les internautes avec des cartes de réduction à des prix bien inférieurs aux tarifs officiels.
Plus une marque est connue et plus la saison des réservations est intense, plus les probabilités sont élevées que quelqu’un tente, à ce moment précis, de la copier pour en tirer profit. Les chercheurs universitaires spécialisés en sécurité numérique avertissent que les campagnes de phishing ciblant le secteur touristique figurent parmi les formes les plus lucratives de cybercriminalité.
Comment fonctionnent ces arnaques, étape par étape
Le schéma est généralement similaire, même si les détails varient. Les criminels misent sur la précipitation, la confiance envers une marque reconnue et la peur de rater une réservation. Les experts en cybersécurité de nombreuses entreprises technologiques alertent sur le fait que ces tactiques se perfectionnent en permanence.
Les techniques les plus couramment utilisées par les escrocs :
- Création de sites graphiquement quasi identiques aux originaux, mais avec une adresse web différente
- Achat d’espaces publicitaires sur les moteurs de recherche pour faire apparaître le faux site en tête des résultats, au-dessus des résultats organiques
- Envoi d’e-mails ou de SMS imitant les communications des plateformes connues
- Redirection vers des modes de paiement suspects : virements bancaires, liens externes, échanges via des applications de messagerie
- Menace d’annulation de la réservation si le « paiement de confirmation » n’est pas effectué immédiatement
- Utilisation de formules d’urgence comme « dernière chambre disponible » ou « offre valable encore une heure »
- Imitation d’e-mails de confirmation à l’apparence officielle, avec logo de l’entreprise
- Création de faux numéros de service client, semblables aux originaux
Une technique récurrente consiste en un message apparemment envoyé par Booking.com, avec une adresse expéditeur proche de l’officielle, indiquant qu’il est nécessaire de ressaisir les données de sa carte car « le système a refusé le paiement ». Le message contient un lien menant vers une page pratiquement identique à la vraie interface de connexion.
Une fois les données de la carte saisies, l’argent commence à disparaître du compte, et la victime ne s’en rend compte bien souvent qu’après plusieurs heures ou plusieurs jours. Des billets de train « super promotionnels » ou des cartes de réduction pour voyages en train sont proposés selon des procédés analogues. Les établissements bancaires enregistrent chaque mois des centaines de cas similaires.
Comment vérifier que l’on se trouve sur un site authentique
Experts en sécurité et plateformes elles-mêmes s’accordent à dire que quelques habitudes simples peuvent préserver le budget vacances. Elles demandent un minimum d’attention, mais deviennent vite automatiques.
La première chose à faire est de regarder la barre d’adresse du navigateur. Les escrocs utilisent souvent des URL très proches des originales, avec une lettre supplémentaire, un tiret ou une extension de domaine inhabituelle. Une bonne règle est de taper l’adresse directement dans le navigateur ou d’utiliser exclusivement l’application officielle de la plateforme, plutôt que de cliquer sur des liens provenant de publicités ou de messages.
Il est également important de vérifier la présence du symbole du cadenas, qui indique une connexion sécurisée en HTTPS. Les sites frauduleux ne disposent parfois pas d’un certificat de sécurité valide. Les chercheurs des institutions spécialisées en cybersécurité recommandent d’installer des extensions de navigateur qui alertent en cas de domaine suspect.
Quand une offre semble trop belle pour être vraie
Un budget vacances serré pousse à chercher les meilleures affaires. Les escrocs le savent parfaitement. D’où les tarifs suspicieusement bas sur les billets de train, les cartes de réduction ou les hébergements dans les destinations les plus prisées en pleine saison.
Si un prix est nettement inférieur à celui pratiqué sur d’autres sites, cela vaut la peine de faire un effort supplémentaire : vérifier le même hébergement ou service sur une autre plateforme, lire les avis provenant de sources variées et effectuer une recherche inversée des photos, par exemple via Google Lens. Si les mêmes images apparaissent associées à plusieurs locations complètement différentes, c’est un signal d’alarme très sérieux.
Des psychologues spécialisés en économie comportementale font remarquer que les personnes enthousiastes à l’idée d’organiser des vacances sont plus enclines à prendre des décisions hâtives. Vérifier les photos et l’adresse du site ne prend que quelques minutes, mais peut faire toute la différence entre passer ses congés dans l’endroit de ses rêves ou les passer au téléphone avec le service antifraude de sa banque.
Que faire si vous avez déjà payé des escrocs
Si vous avez déjà effectué un virement sur le compte d’un escroc ou saisi les données de votre carte sur un faux site, chaque minute compte. Plus la réaction est rapide, plus les chances de limiter les dégâts sont grandes.
Contactez immédiatement votre banque et signalez la transaction suspecte. Demandez le blocage de votre carte de paiement et vérifiez les dernières opérations effectuées. Rassemblez toutes les preuves disponibles : e-mails, SMS, captures d’écran, reçus de virements.
Déposez plainte auprès de la police et de l’autorité compétente en matière de cybercriminalité dans votre pays. En France, vous pouvez contacter la Police nationale via la plateforme dédiée aux signalements en ligne. Contactez également la vraie plateforme — Airbnb, Booking.com ou Expedia — pour signaler l’usurpation de l’identité de leur marque.
Les banques ne remboursent pas toujours les sommes perdues, car c’est souvent la victime elle-même qui a autorisé le virement ou le paiement par carte. Malgré tout, le signalement reste utile : certains établissements lancent des procédures d’enquête, et la carte bloquée ne représente plus un risque futur. Les experts des établissements financiers recommandent de consulter régulièrement ses relevés de compte et d’activer les notifications pour chaque transaction.
Pourquoi les arnaques aux réservations fonctionnent aussi bien
Le secteur des réservations de voyage est un terrain fertile pour les criminels. Les gens sont enthousiastes à l’idée de leurs prochaines vacances, jonglent avec plusieurs tâches à la fois, surveillent leur budget et planifient chaque détail. Dans cet état d’esprit, il est plus facile de cliquer sur la première annonce venue ou sur le lien d’un e-mail qui vient d’arriver.
Les plateformes de réservation elles-mêmes envoient en permanence des notifications : modifications d’horaires de vols, confirmations d’hébergement, alertes de paiement. Pour un utilisateur ordinaire, il est difficile de distinguer instantanément une communication authentique d’un message soigneusement falsifié. Et c’est exactement l’objectif des escrocs — se fondre dans le flux normal d’informations qui gravitent autour d’un voyage.
Il faut également rappeler que les grandes marques ne sont pas la cible, mais l’appât. Des entreprises comme Airbnb, Booking.com et Expedia investissent des ressources considérables dans la sécurité de leurs systèmes, mais les criminels contournent ces défenses en s’attaquant directement aux utilisateurs, en usurpant l’identité de ces marques. Cela signifie que même la technologie la plus avancée déployée par les plateformes ne peut pas remplacer la vigilance personnelle au moment de la réservation. Ne la sous-estimez pas lorsque vous planifiez votre prochain voyage.
