En 2025, les plateformes de voyage ont subi en moyenne des centaines de milliers de tentatives d’attaque par jour, en grande partie automatisées - DepositPhotos.com, welcomia
Il y a encore quelques années, les faux sites de voyage étaient grossiers.
Mauvais français, URLs douteuses, pages qui sentaient l’arnaque à dix mètres. Ce temps-là est terminé.
En 2026, plus de 4 300 faux sites de réservation circulent activement sur le web, conçus spécifiquement pour voler les cartes bancaires des voyageurs. Et ils sont bons. Très bons.
Ces sites imitent à la perfection Booking.com, Airbnb, Expedia ou Agoda. Même design, mêmes codes couleurs, mêmes parcours utilisateurs. Certains supportent plus de quarante langues.
Pour un client pressé, fatigué, en déplacement ou simplement confiant, la différence est invisible. Et c’est précisément là que le piège se referme.
Lire aussi : Ransomwares dans le tourisme : les sauvegardes ne vous sauveront plus
Mauvais français, URLs douteuses, pages qui sentaient l’arnaque à dix mètres. Ce temps-là est terminé.
En 2026, plus de 4 300 faux sites de réservation circulent activement sur le web, conçus spécifiquement pour voler les cartes bancaires des voyageurs. Et ils sont bons. Très bons.
Ces sites imitent à la perfection Booking.com, Airbnb, Expedia ou Agoda. Même design, mêmes codes couleurs, mêmes parcours utilisateurs. Certains supportent plus de quarante langues.
Pour un client pressé, fatigué, en déplacement ou simplement confiant, la différence est invisible. Et c’est précisément là que le piège se referme.
Lire aussi : Ransomwares dans le tourisme : les sauvegardes ne vous sauveront plus
Une fraude pensée comme une chaîne industrielle
On ne parle plus de quelques escrocs isolés. On parle d’une organisation structurée.
Le scénario est toujours le même : un message "urgent" arrive, souvent par e-mail, parfois par SMS. Il évoque une réservation en cours, un problème de paiement, une confirmation à effectuer sous 24 heures. Le ton est pressant, jamais agressif. Juste ce qu’il faut pour déclencher une réaction rapide.
Le lien renvoie vers un site dont l’URL semble crédible. "booking-confirmation", "secure-card", "reservation-check".
Une fois sur la page, tout est fait pour rassurer. Le site affiche les bonnes dates, parfois le nom de l’hôtel, parfois le montant attendu. Ce n’est pas un hasard.
Ces plateformes utilisent des identifiants uniques pour adapter dynamiquement le contenu à chaque victime.
Le client saisit alors ses coordonnées bancaires, convaincu de réaliser une simple vérification ou un dépôt de garantie. En réalité, les données sont immédiatement exfiltrées, souvent via des bots Telegram, sans aucun stockage local.
Pour renforcer l’illusion, certains sites affichent un faux CAPTCHA ou une fenêtre de chat simulant un support client actif. Tout est faux. Tout est crédible.
Cette campagne est attribuée à des acteurs russophones et repose sur des kits de phishing prêts à l’emploi. Du phishing "as a service". Chacun peut lancer sa campagne. Chacun peut encaisser.
Pourquoi le tourisme est une cible idéale
Le tourisme coche toutes les cases. Paiements fréquents. Montants variables. Réservations de dernière minute. Clients internationaux. Pression émotionnelle. Tout ce qu’un fraudeur aime.
Mais surtout, le secteur repose sur une confiance implicite. Le client s’attend à recevoir des messages liés à sa réservation. Il s’attend à devoir confirmer, ajuster, payer. Le fraudeur n’invente rien. Il se glisse dans un scénario déjà accepté.
Et quand l’arnaque fonctionne, ce n’est pas seulement le client qui trinque. C’est l’agence. L’hôtel. La plateforme. Parce que dans l’esprit du voyageur, le lien est immédiat : "J’ai cliqué parce que je réservais chez vous".
Peu importe que vos systèmes n’aient jamais été compromis. La confiance, elle, l’est.
Mais surtout, le secteur repose sur une confiance implicite. Le client s’attend à recevoir des messages liés à sa réservation. Il s’attend à devoir confirmer, ajuster, payer. Le fraudeur n’invente rien. Il se glisse dans un scénario déjà accepté.
Et quand l’arnaque fonctionne, ce n’est pas seulement le client qui trinque. C’est l’agence. L’hôtel. La plateforme. Parce que dans l’esprit du voyageur, le lien est immédiat : "J’ai cliqué parce que je réservais chez vous".
Peu importe que vos systèmes n’aient jamais été compromis. La confiance, elle, l’est.
Les dégâts sont bien réels
Les conséquences sont rarement techniques. Elles sont commerciales, réputationnelles, juridiques.
Clients mécontents. Contestations bancaires. Réseaux sociaux. Avis négatifs. Et surtout, une suspicion durable.
En 2025, les plateformes de voyage ont subi en moyenne des centaines de milliers de tentatives d’attaque par jour, en grande partie automatisées. La majorité ne visait pas à "pirater" les systèmes, mais à exploiter les parcours clients.
Faux bookings, blocage de disponibilités, détournement de flux de paiement. Le problème n’est pas l’infrastructure. C’est la logique métier.
Clients mécontents. Contestations bancaires. Réseaux sociaux. Avis négatifs. Et surtout, une suspicion durable.
En 2025, les plateformes de voyage ont subi en moyenne des centaines de milliers de tentatives d’attaque par jour, en grande partie automatisées. La majorité ne visait pas à "pirater" les systèmes, mais à exploiter les parcours clients.
Faux bookings, blocage de disponibilités, détournement de flux de paiement. Le problème n’est pas l’infrastructure. C’est la logique métier.
Ce que beaucoup refusent encore de voir
La plupart des professionnels du tourisme pensent encore que ce type de fraude ne les concerne pas directement. "Ce sont des faux sites, pas les nôtres." C’est une erreur.
Si vos clients tombent dans le piège, c’est votre image qui est touchée. Pas celle du fraudeur.
Se contenter de dire "ce n’est pas nous" ne suffit plus. La protection passe par autre chose : informer clairement les clients sur vos pratiques réelles, surveiller activement l’apparition de sites frauduleux utilisant votre nom ou vos codes, et accepter que la cybersécurité dépasse largement le périmètre de vos systèmes internes.
C’est aussi le même aveuglement que l’on retrouve lorsqu’on connecte des outils, des prestataires ou de l’IA sans cadre clair, comme je l’évoquais récemment à propos des risques liés à l’intelligence artificielle dans le tourisme.
La menace ne vient pas toujours d’une faille. Elle vient souvent d’un angle mort.
Si vos clients tombent dans le piège, c’est votre image qui est touchée. Pas celle du fraudeur.
Se contenter de dire "ce n’est pas nous" ne suffit plus. La protection passe par autre chose : informer clairement les clients sur vos pratiques réelles, surveiller activement l’apparition de sites frauduleux utilisant votre nom ou vos codes, et accepter que la cybersécurité dépasse largement le périmètre de vos systèmes internes.
C’est aussi le même aveuglement que l’on retrouve lorsqu’on connecte des outils, des prestataires ou de l’IA sans cadre clair, comme je l’évoquais récemment à propos des risques liés à l’intelligence artificielle dans le tourisme.
La menace ne vient pas toujours d’une faille. Elle vient souvent d’un angle mort.
La réalité, sans détour
Autres articles
-
Ransomwares dans le tourisme : les sauvegardes ne vous sauveront plus [ABO]
-
Cybersécurité : un sujet devenu central pour les professionnels du voyage
-
Noël : une période sensible pour les cyberattaques !
-
IA dans le tourisme : connectée à tout... sauf à la réalité des risques ?
-
Cyberattaque dans les aéroports : ce que personne ne veut vraiment voir
En 2026, les faux sites de voyage ne sont plus une anomalie. Ils font partie du paysage.
Les ignorer, c’est accepter qu’une partie de l’expérience client vous échappe. Et dans un secteur fondé sur la confiance, c’est une pente dangereuse.
La question n’est plus de savoir si vos clients seront exposés. La question est de savoir ce que vous aurez mis en place avant que cela n'arrive.
Les ignorer, c’est accepter qu’une partie de l’expérience client vous échappe. Et dans un secteur fondé sur la confiance, c’est une pente dangereuse.
La question n’est plus de savoir si vos clients seront exposés. La question est de savoir ce que vous aurez mis en place avant que cela n'arrive.
Qui est Christophe Mazzola ?
Photo : Christophe Mazzola
Christophe Mazzola est expert en cybersécurité, fondateur de la Cyber Academy et directeur de la pratique GRC chez Cresco Cybersecurity.
Son objectif : rendre la cybersécurité accessible à tous.
Conférencier, auteur et RSSI, il accompagne entreprises et institutions dans une approche pragmatique de la sécurité numérique, à la croisée du leadership, de la pédagogie et de la souveraineté digitale.
Son objectif : rendre la cybersécurité accessible à tous.
Conférencier, auteur et RSSI, il accompagne entreprises et institutions dans une approche pragmatique de la sécurité numérique, à la croisée du leadership, de la pédagogie et de la souveraineté digitale.
![Marché des changes : L’euro résiste, le yen s’enfonce et le dollar joue les refuges [ABO]](https://www.tourmag.com/photo/art/large_16_9/94224746-65733527.jpg?v=1770628802 "Marché des changes : L’euro résiste, le yen s’enfonce et le dollar joue les refuges [ABO]")
![Faux sites de réservation : la menace fantôme qui s'attaque à vos clients [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/94235212-65739868.jpg?v=1770658732 "Faux sites de réservation : la menace fantôme qui s'attaque à vos clients [ABO]")
![Décarbonation de l’aérien : "sans SAF, pas de croissance !" [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/94121821-65654838.jpg?v=1770384976 "Décarbonation de l’aérien : \"sans SAF, pas de croissance !\" [ABO]")
![Créer ou reprendre une agence : pourquoi et comment bien s’associer ? [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/94128595-65656910.jpg?v=1770369246 "Créer ou reprendre une agence : pourquoi et comment bien s’associer ? [ABO]")
![Tunisie : vous prendrez bien un peu de désert ? [ABO]](https://www.tourmag.com/photo/art/large_16_9/94117568-65653149.jpg?v=1770298665 "Tunisie : vous prendrez bien un peu de désert ? [ABO]")
![Musées et santé : l'essor de la muséothérapie [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/93945726-65568018.jpg?v=1769613161 "Musées et santé : l'essor de la muséothérapie [ABO]")
![Le bien-être : une croissance spectaculaire et continue [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/93852662-65524623.jpg?v=1769430482 "Le bien-être : une croissance spectaculaire et continue [ABO]")
![Les musées ont-ils un avenir et lequel ? [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/93778464-65484235.jpg?v=1768841214 "Les musées ont-ils un avenir et lequel ? [ABO]")
