Si vous gérez un hôtel, une agence, un musée ou une plateforme, l’enjeu n’est plus la sensibilisation générique aux mails suspects - DepositPhotos.com, bigjom
Vous êtes à l’aéroport. Le vol décolle dans deux heures. Votre téléphone vibre.
C’est un SMS, un WhatsApp, ou un mail qui a tous les attributs d’un message officiel de l’hôtel : le nom de l’établissement, la date d’arrivée, le montant exact de votre séjour, parfois même le numéro de dossier.
Le ton est calme, ferme, professionnel. Un problème technique sur le paiement. Un complément à régler avant l’arrivée pour confirmer la chambre. Un lien à cliquer. Vous hésitez trois secondes. Tout est juste. Vous cliquez.
Ce scénario, des centaines de voyageurs européens l’ont vécu depuis le mois de mars. Et il dit quelque chose que la communication post-incident des plateformes ne dit pas : ce qui rend ces arnaques redoutables, ce n’est pas la sophistication technique.
C’est qu’elles exploitent un raccourci cognitif sur lequel nous comptons tous, et que le tourisme a transformé en faille systémique.
C’est un SMS, un WhatsApp, ou un mail qui a tous les attributs d’un message officiel de l’hôtel : le nom de l’établissement, la date d’arrivée, le montant exact de votre séjour, parfois même le numéro de dossier.
Le ton est calme, ferme, professionnel. Un problème technique sur le paiement. Un complément à régler avant l’arrivée pour confirmer la chambre. Un lien à cliquer. Vous hésitez trois secondes. Tout est juste. Vous cliquez.
Ce scénario, des centaines de voyageurs européens l’ont vécu depuis le mois de mars. Et il dit quelque chose que la communication post-incident des plateformes ne dit pas : ce qui rend ces arnaques redoutables, ce n’est pas la sophistication technique.
C’est qu’elles exploitent un raccourci cognitif sur lequel nous comptons tous, et que le tourisme a transformé en faille systémique.
Le détail qui défait votre vigilance
Notre cerveau évalue la légitimité d’un message inconnu sur un critère simple : l’expéditeur sait-il des choses qu’il n’aurait pas pu inventer ? Si oui, il est probablement de confiance.
Cette heuristique, robuste pendant des décennies, est devenue obsolète le jour où les données de réservation ont commencé à circuler dans des forums criminels.
Le 13 avril 2026, Booking.com a confirmé qu’un accès non autorisé avait exposé les noms, adresses, e-mails, numéros de téléphone, dates de séjour, noms d’hôtel et messages échangés avec les établissements pour un nombre indéterminé de clients.
La firme néerlandaise précise qu’aucune donnée bancaire n’a été extraite.
Du point de vue d’un escroc, cela n’a aucune importance.
Un nom, un hôtel, une date et un numéro de dossier, c’est exactement ce qu’il faut pour fabriquer un message que vous croirez.
La vraie cible n’était pas Booking
L’attaque ne vise pas l’infrastructure d’Amsterdam. Elle vise les hôtels partenaires.
Microsoft a documenté la campagne dès mars 2025 et continue de la suivre sous le nom Storm-1865.
Le mode opératoire s’appelle ClickFix : un faux mail Booking.com arrive dans la boîte d’une réception, redirige vers une page reproduisant l’extranet partenaire, affiche un faux CAPTCHA, demande à l’utilisateur de copier-coller une commande dans la fenêtre Exécuter de Windows.
Le réceptionniste s’exécute. Il vient d’installer XWorm ou VenomRAT sur son poste. À partir de là, l’attaquant a accès aux identifiants de l’extranet, donc aux fiches clients de tous les voyageurs qui passent par cet hôtel.
C’est une attaque chirurgicale sur la chaîne d’approvisionnement de la confiance.
La plateforme reste techniquement intègre. L’établissement reste juridiquement séparé. Le voyageur est exposé sans qu’aucun de ses interlocuteurs ne soit, individuellement, fautif. Ce vide est le terrain de jeu favori des groupes criminels en 2026.
Microsoft a documenté la campagne dès mars 2025 et continue de la suivre sous le nom Storm-1865.
Le mode opératoire s’appelle ClickFix : un faux mail Booking.com arrive dans la boîte d’une réception, redirige vers une page reproduisant l’extranet partenaire, affiche un faux CAPTCHA, demande à l’utilisateur de copier-coller une commande dans la fenêtre Exécuter de Windows.
Le réceptionniste s’exécute. Il vient d’installer XWorm ou VenomRAT sur son poste. À partir de là, l’attaquant a accès aux identifiants de l’extranet, donc aux fiches clients de tous les voyageurs qui passent par cet hôtel.
C’est une attaque chirurgicale sur la chaîne d’approvisionnement de la confiance.
La plateforme reste techniquement intègre. L’établissement reste juridiquement séparé. Le voyageur est exposé sans qu’aucun de ses interlocuteurs ne soit, individuellement, fautif. Ce vide est le terrain de jeu favori des groupes criminels en 2026.
Quand la billetterie d’un musée devient une arme
Six semaines avant Booking, le groupe RansomHouse avait frappé Vivaticket via sa filiale française Irec SAS.
La société italienne gère environ 850 millions de billets par an pour près de 3 500 musées, monuments et parcs européens.
Le 2 mars 2026, son infrastructure a été chiffrée. Pendant plusieurs jours, le Louvre, Orsay, le Quai Branly, Notre-Dame, l’Arc de Triomphe, la Tour Eiffel, le Louvre-Lens, le Parc Astérix et bien d’autres ont vu leur billetterie en ligne tomber.
Les attaquants revendiquent le vol de noms, adresses e-mail, historiques d’achat, dates de réservation, codes postaux et métadonnées de connexion. L’Agence nationale de la sécurité des systèmes d'information (ANSSI) accompagne l’enquête.
Là encore, Vivaticket précise qu’aucune donnée bancaire n’est sortie. Là encore, le périmètre stratégique de l’attaquant n’est pas la donnée elle-même, c’est ce qu’on peut en faire ensuite.
Une liste de visiteurs du Louvre qui ont acheté un billet pour le 18 mai 2026, c’est de la matière brute pour un mail signé « Service client - Musée du Louvre » envoyé le 17 mai, demandant de revalider la réservation. Quand votre cerveau scanne ce message, tous les voyants de cohérence sont au vert.
La société italienne gère environ 850 millions de billets par an pour près de 3 500 musées, monuments et parcs européens.
Le 2 mars 2026, son infrastructure a été chiffrée. Pendant plusieurs jours, le Louvre, Orsay, le Quai Branly, Notre-Dame, l’Arc de Triomphe, la Tour Eiffel, le Louvre-Lens, le Parc Astérix et bien d’autres ont vu leur billetterie en ligne tomber.
Les attaquants revendiquent le vol de noms, adresses e-mail, historiques d’achat, dates de réservation, codes postaux et métadonnées de connexion. L’Agence nationale de la sécurité des systèmes d'information (ANSSI) accompagne l’enquête.
Là encore, Vivaticket précise qu’aucune donnée bancaire n’est sortie. Là encore, le périmètre stratégique de l’attaquant n’est pas la donnée elle-même, c’est ce qu’on peut en faire ensuite.
Une liste de visiteurs du Louvre qui ont acheté un billet pour le 18 mai 2026, c’est de la matière brute pour un mail signé « Service client - Musée du Louvre » envoyé le 17 mai, demandant de revalider la réservation. Quand votre cerveau scanne ce message, tous les voyants de cohérence sont au vert.
Une industrie de confiance vendue en pièces détachées
Le secteur touristique a poussé loin la sous-traitance, la spécialisation et l’interconnexion des systèmes.
Une réservation simple peut transiter par six entités distinctes : la plateforme de comparaison, le centralisateur d’inventaire, l’hôtel, son PMS, le prestataire de paiement, l’opérateur de billetterie sur place.
Chacune voit une partie de la donnée. Chacune a son propre niveau de maturité cyber. Et l’information la plus précieuse, celle qui révèle qui vous êtes, où vous serez, quand, avec qui, pour combien, circule librement entre tous ces maillons.
Le voyageur, lui, voit Booking ou voit son musée. Il ne voit pas Storm-1865, RansomHouse, Irec SAS, ClickFix, ni la cascade de sous-traitants. Il subit le résultat composite d’un écosystème dont la sécurité est aussi forte que son maillon le plus faible.
En 2018, un schéma comparable avait coûté à Booking.com une amende de 475 000 euros de l’autorité néerlandaise pour notification tardive après un phishing sur des hôtels aux Émirats.
Huit ans plus tard, le même mécanisme fonctionne. La différence, c’est l’échelle, la vitesse et l’industrialisation.
Une réservation simple peut transiter par six entités distinctes : la plateforme de comparaison, le centralisateur d’inventaire, l’hôtel, son PMS, le prestataire de paiement, l’opérateur de billetterie sur place.
Chacune voit une partie de la donnée. Chacune a son propre niveau de maturité cyber. Et l’information la plus précieuse, celle qui révèle qui vous êtes, où vous serez, quand, avec qui, pour combien, circule librement entre tous ces maillons.
Le voyageur, lui, voit Booking ou voit son musée. Il ne voit pas Storm-1865, RansomHouse, Irec SAS, ClickFix, ni la cascade de sous-traitants. Il subit le résultat composite d’un écosystème dont la sécurité est aussi forte que son maillon le plus faible.
En 2018, un schéma comparable avait coûté à Booking.com une amende de 475 000 euros de l’autorité néerlandaise pour notification tardive après un phishing sur des hôtels aux Émirats.
Huit ans plus tard, le même mécanisme fonctionne. La différence, c’est l’échelle, la vitesse et l’industrialisation.
Pour les professionnels, ce qui n’est plus négociable
Si vous gérez un hôtel, une agence, un musée ou une plateforme, l’enjeu n’est plus la sensibilisation générique aux mails suspects.
Les équipes de réception sont devenues une cible prioritaire pour des opérations criminelles industrialisées, et un module e-learning annuel ne suffit plus.
Les comptes extranet doivent être protégés par une authentification multifacteur résistante au phishing, les postes de travail des réceptionnistes durcis et monitorés comme des postes critiques, les commandes inhabituelles dans la fenêtre Exécuter détectées en temps réel.
Les contrats avec vos prestataires doivent imposer la notification rapide d’incident, des audits de sécurité réguliers, et la transparence sur les données qui transitent.
Le scénario de crise, lui, doit prévoir non seulement la restauration technique mais la communication client : si la fuite touche vos voyageurs, ils seront ciblés par des phishings très crédibles dans les jours qui suivent. Mieux vaut leur écrire vous-même, clairement, avant que les escrocs ne le fassent à votre place.
Les équipes de réception sont devenues une cible prioritaire pour des opérations criminelles industrialisées, et un module e-learning annuel ne suffit plus.
Les comptes extranet doivent être protégés par une authentification multifacteur résistante au phishing, les postes de travail des réceptionnistes durcis et monitorés comme des postes critiques, les commandes inhabituelles dans la fenêtre Exécuter détectées en temps réel.
Les contrats avec vos prestataires doivent imposer la notification rapide d’incident, des audits de sécurité réguliers, et la transparence sur les données qui transitent.
Le scénario de crise, lui, doit prévoir non seulement la restauration technique mais la communication client : si la fuite touche vos voyageurs, ils seront ciblés par des phishings très crédibles dans les jours qui suivent. Mieux vaut leur écrire vous-même, clairement, avant que les escrocs ne le fassent à votre place.
Pour les voyageurs, le réflexe à inverser
Autres articles
-
Vacancéole piratée : quand celui qui parle en votre nom vous expose en silence [ABO]
-
Conflit Moyen-Orient : derrière la crise aérienne, un risque cyber pour le tourisme [ABO]
-
Airbnb et Booking : deux récits du voyage pour une même bataille de l’hébergement touristique
-
Faux sites de réservation : la menace fantôme qui s'attaque à vos clients [ABO]
-
Navan annonce un partenariat renforcé avec Booking.com
L’ancienne règle disait : si l’expéditeur connaît les détails de ma réservation, il est légitime. Cette règle est morte.
La nouvelle est plus simple : tout message que je n’ai pas initié est suspect, indépendamment de son contenu.
Si l’hôtel ou la plateforme prétend qu’il y a un problème, je ne clique sur rien, je n’appelle pas le numéro indiqué dans le message, je ne réponds pas au WhatsApp. Je vais sur le site officiel par mes propres moyens, je me connecte à mon espace, je regarde si une alerte y figure.
Booking ne demande jamais de paiement complémentaire par lien externe, par virement, ni par WhatsApp.
Aucun musée européen sérieux n’envoie de SMS de revalidation de billet. Le numéro de dossier dans le message n’est pas une preuve d’authenticité, c’est désormais le signal qu’il faut redoubler de prudence.
Voyager en 2026, c’est aussi accepter cette désillusion : vos données personnelles ont déjà fuité, quelque part, à un moment ou un autre.
La question n’est plus de l’éviter. Elle est de désapprendre les automatismes que les escrocs ont appris à exploiter.
Le SMS arrivera. Tout sera juste. Et c’est précisément à ce moment-là qu’il faudra ne pas cliquer.
La nouvelle est plus simple : tout message que je n’ai pas initié est suspect, indépendamment de son contenu.
Si l’hôtel ou la plateforme prétend qu’il y a un problème, je ne clique sur rien, je n’appelle pas le numéro indiqué dans le message, je ne réponds pas au WhatsApp. Je vais sur le site officiel par mes propres moyens, je me connecte à mon espace, je regarde si une alerte y figure.
Booking ne demande jamais de paiement complémentaire par lien externe, par virement, ni par WhatsApp.
Aucun musée européen sérieux n’envoie de SMS de revalidation de billet. Le numéro de dossier dans le message n’est pas une preuve d’authenticité, c’est désormais le signal qu’il faut redoubler de prudence.
Voyager en 2026, c’est aussi accepter cette désillusion : vos données personnelles ont déjà fuité, quelque part, à un moment ou un autre.
La question n’est plus de l’éviter. Elle est de désapprendre les automatismes que les escrocs ont appris à exploiter.
Le SMS arrivera. Tout sera juste. Et c’est précisément à ce moment-là qu’il faudra ne pas cliquer.
Qui est Christophe Mazzola ?
Photo : Christophe Mazzola
Christophe Mazzola est expert en cybersécurité, fondateur de la Cyber Academy et directeur de la pratique GRC chez Cresco Cybersecurity.
Son objectif : rendre la cybersécurité accessible à tous.
Conférencier, auteur et RSSI, il accompagne entreprises et institutions dans une approche pragmatique de la sécurité numérique, à la croisée du leadership, de la pédagogie et de la souveraineté digitale.
Son objectif : rendre la cybersécurité accessible à tous.
Conférencier, auteur et RSSI, il accompagne entreprises et institutions dans une approche pragmatique de la sécurité numérique, à la croisée du leadership, de la pédagogie et de la souveraineté digitale.
![Réservation piratée : ce qui se joue vraiment derrière la vague Booking-Vivaticket [ABO]](https://www.tourmag.com/photo/art/large_16_9/96391434-67216108.jpg?v=1777990231 "Réservation piratée : ce qui se joue vraiment derrière la vague Booking-Vivaticket [ABO]")
![Atout France : le prix de l'immatriculation et de son renouvellement explose ! [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/96404438-67224978.jpg?v=1777979819 "Atout France : le prix de l'immatriculation et de son renouvellement explose ! [ABO]")
![Guerre au Moyen-Orient : quels sont les bons élèves parmi les tour-opérateurs et compagnies aériennes ? [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/96334692-67192518.jpg?v=1777982929 "Guerre au Moyen-Orient : quels sont les bons élèves parmi les tour-opérateurs et compagnies aériennes ? [ABO]")
![Marché des changes : des tensions globales sur les grandes devises [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/96391673-67216378.jpg?v=1777902723 "Marché des changes : des tensions globales sur les grandes devises [ABO]")
![Commentaires clients : un récit indispensable sur notre modernité [ABO]](https://www.tourmag.com/photo/art/large_16_9/96212796-67119062.jpg?v=1776949960 "Commentaires clients : un récit indispensable sur notre modernité [ABO]")
![Les migrations d’élans… le mieux-être à la suédoise [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/96080002-67030319.jpg?v=1776354106 "Les migrations d’élans… le mieux-être à la suédoise [ABO]")
![Où nous conduira le bashing contre l’Occident ? [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/96042425-67010015.jpg?v=1776261891 "Où nous conduira le bashing contre l’Occident ? [ABO]")
![Fin de Sora : l'IA, le temps des illusionnistes ? [ABO]](https://www.tourmag.com/photo/art/imagette_16_9/95766435-66883834.jpg?v=1775107984 "Fin de Sora : l'IA, le temps des illusionnistes ? [ABO]")
