De nombreux Français s’apprêtent à réserver, ou ont déjà réservé, leurs vacances d’été. Pour tenter de faire des économies, de plus en plus de voyageurs ont tendance à se précipiter… et à sauter sur des offres un peu trop alléchantes. Dans certains cas, ces offres, bien trop belles pour être vraies, sont des arnaques. Selon une étude de McAfee, un tiers des voyageurs français (35%) déclarent avoir déjà été confrontés à une escroquerie liée au voyage. La moitié de ceux-ci ont même perdu plus de 250 euros.
« L’augmentation constante des coûts du voyage modifie radicalement le comportement des consommateurs. Quand l’offre est rare et les prix élevés, les gens agissent plus vite. Les escrocs en profitent pour usurper l’identité des marques de confiance », nous explique Abhishek Karnik, responsable de la recherche chez McAfee.
L’étude de McAfee pointe du doigt la recrudescence des arnaques aux locations saisonnières, qui reste l’une des formes de voyage les plus prisées des familles françaises. Même son de cloche du côté de Norton. Dans un rapport partagé avec 01net, la société de sécurité souligne que la France fait partie des pays les plus touchés par l’arnaque à la réservation en ligne. Cette escroquerie consiste à pirater des plateformes de réservation. Ensuite, les pirates vont « pousser les victimes à effectuer un faux paiement ou à renseigner leurs coordonnées bancaires sur une page frauduleuse ». Dans l’Hexagone, 35 établissements ont d’ailleurs été compromis.
Les hôtels dans le viseur des hackers
Interrogé par 01net, Luis Corrons, chercheur chez Norton, estime que les plateformes de réservation sont le plus souvent compromises, bien en amont des arnaques, « par des campagnes de phishing visant le personnel des hôtels, dans lesquelles les cybercriminels usurpent l’identité de plateformes de réservation ». Dans une variante observée par Norton, les cybercriminels usurpent l’identité de Booking.com et envoient à l’hôtel un faux e-mail de facturation, contenant un PDF. Une fois des identifiants volés, les pirates peuvent se faire passer pour des hôtels et piéger les internautes.
Parfois, les messages piégés sont directement envoyés par le biais de la messagerie d’une plateforme en ligne, comme Booking. Les chercheurs de Norton ont découvert que certains escrocs envoient actuellement des messages frauduleux directement « depuis l’infrastructure légitime de Booking.com et reprend l’ensemble des éléments authentiques de la plateforme (charte graphique, mise en page, en-têtes de message) ».
Ces messages redirigent la cible sur une page de phishing redoutablement efficace, avec « plusieurs éléments destinés à rassurer l’utilisateur ou à créer un sentiment d’urgence : annulation gratuite, politique de remboursement ou encore alertes sur la disponibilité limitée ». L’objectif des cybercriminels est « d’inciter la victime à procéder à une prétendue vérification de sa carte bancaire via une autorisation de paiement temporaire, en l’alertant sur un risque d’annulation de la réservation ou sur un nombre limité de tentatives autorisées ».
À lire aussi : Arnaque au téléphone – pourquoi il ne faut plus dire « allô » quand personne ne répond
Les arnaques les plus courantes en France
Le chercheur indique que « plusieurs types d’arnaques ciblent particulièrement les voyageurs français », comme « les faux sites de réservation, les annonces frauduleuses de locations de vacances, les arnaques à la location de voitures ou encore les fausses agences de voyage ». L’expert souligne la montée en force d’une arnaque bien précise, intitulée « Reservation Hijack scam ». Dans le cadre de cette escroquerie, les cybercriminels s’appuient sur de véritables informations de réservations, récupérées lors d’une cyberattaque. Les cybercriminels « parviennent à compromettre des comptes professionnels ou des outils utilisés par le personnel des hôtels et des entreprises du tourisme ».
« Le secteur du tourisme est une cible privilégiée car il repose sur de nombreux échanges entre voyageurs, hôtels et plateformes de réservation, ainsi que sur des paiements effectués en ligne. Les escrocs profitent de cet environnement de confiance et de la nécessité de réagir rapidement pour rendre leurs arnaques plus crédibles et plus efficaces », relate notre interlocuteur.
On se souviendra d’ailleurs que plusieurs géants du tourisme se sont récemment fait pirater. C’est le cas de Pierre et Vacances-Center Parcs, Belambra et Gîtes de France. Au total, ce sont les données de plus de cinq millions de voyageurs français, étalées sur une période de 30 ans, qui ont été compromises par un seul et unique cybercriminel. Les informations volées se sont promptement retrouvées sur le dark web.
De facto, les hackers disposent d’ores et déjà d’une montagne de véritables données de réservation pour tenter de piéger les internautes. C’est ce qui explique, du moins en partie, l’explosion des arnaques à l’encontre des personnes qui ont réservé des vacances. Les fuites de données rendent ces arnaques beaucoup plus dangereuses et redoutables. L’un « des points les plus importants à garder à l’esprit est qu’un message ne doit pas être considéré comme légitime simplement parce qu’il contient des informations exactes sur une réservation », martèle le chercheur.
« Les messages contiennent souvent des informations exactes : nom de l’hôtel, dates de séjour, prix de la réservation ou coordonnées du client. Les victimes pensent alors simplement répondre à une demande habituelle liée à leur voyage, alors qu’elles sont redirigées vers une page frauduleuse destinée à voler leurs données bancaires ou personnelles. Aujourd’hui, ces arnaques sont particulièrement efficaces parce qu’elles ne ressemblent plus à des arnaques “classiques” : elles s’intègrent dans une conversation ou un parcours de réservation parfaitement plausible », nous raconte Luis Corrons.
Une fois dérobées, les données « peuvent être utilisées immédiatement pour effectuer des paiements frauduleux ou usurper l’identité des victimes, mais elles sont aussi souvent revendues sur des places de marché clandestines du dark web ». L’expert mentionne aussi le cas des « copies de pièces d’identité », qui sont bien souvent réclamées par les hôtels et les gestionnaires de logement. Ces copies peuvent servir à ouvrir de faux comptes bancaires ou à contracter des crédits.
À lire aussi : Arnaque à la Coupe du Monde 2026 – des milliers de faux sites FIFA inondent Internet
Un timing redoutable
Pire, les hackers ont pris l’habitude de s’attaquer aux voyageurs « juste après la finalisation de leur réservation ». Ce sens du timing rend l’arnaque encore plus difficile à déceler et redoutable. En effet, juste après une réservation pour un séjour, c’est un « moment où il est tout à fait normal de s’attendre à recevoir une communication de la plateforme pour confirmer ». Plus vous vous attendez à recevoir un mail, moins vous vous méfierez quand vous en recevrez un… même s’il s’agit d’un piège. Pour déterminer le moment idéal pour frapper, les pirates se servent évidemment d’accès et de données compromises. Les cybercriminels peuvent en effet « consulter les réservations en cours » une fois qu’ils ont compromis une plateforme.
Dans la plupart des cas, les escroqueries sont orchestrées par « des réseaux de cybercriminels » qui se sont spécialisés dans la fraude en ligne et le phishing. Ils n’ont pas d’autres objectifs que de s’emparer de votre argent ou de vos données. Ce genre de criminels multiplie les tactiques pour dégager des bénéfices sur le dos des internautes. Comme nous l’a expliqué le chercheur Norton que nous avons interrogé, « leurs campagnes fonctionnent comme de véritables opérations structurées ». Chaque pirate impliqué dans l’opération joue un rôle bien précis. Certains hackers « se spécialisent dans le phishing, d’autres dans le vol de données, tandis que d’autres encore conçoivent de fausses pages de paiement particulièrement convaincantes ».
Un danger amplifié par l’IA
Sans grande surprise, l’essor de l’intelligence artificielle générative contribue à la création d’arnaques de plus en plus crédibles et sophistiquées. En 2026, les escrocs disposent d’une armée de modèles d’IA, dont des modèles taillés pour le crime, qui leur permettent de rédiger des messages de phishing convaincants. L’IA est « notamment utilisée pour écrire des messages parfaitement rédigés, sans fautes, imitant le ton d’un service client ou d’une plateforme de réservation ».
Pour berner les internautes, les cybercriminels se servent aussi de l’IA pour générer « de fausses images de logements extrêmement réalistes », qui vont donner envie de réserver sans attendre. De faux avis clients ou des copies de sites web légitimes peuvent aussi être réalisés en quelques clics avec l’aide d’un outil reposant sur l’IA.
Comment éviter les arnaques à la location de vacances ? Les 3 signaux à reconnaître
Les chercheurs de Norton épinglent « 3 signaux d’alarme immédiats » pour déceler une escroquerie, à commencer par l’urgence. Ne cédez surtout pas à la tentation de réserver un logement dans l’urgence en vous fiant à un avertissement qui indique qu’il ne reste plus qu’une chambre disponible. C’est une tactique éculée pour vous pousser à agir et à entrer vos données sans réfléchir. Méfiez-vous tout particulièrement des messages qui vous avertissent que « votre réservation sera annulée sous 24 heures » ou « paiement à confirmer immédiatement ». Ces formulations trahissent bien souvent les intentions malveillantes de leurs interlocuteurs, bien que des entités légitimes usent parfois des mêmes mises en garde.
Dans un second temps, il faut être attentif aux demandes de paiement inhabituelles. Si l’hôtel vous demande de régler le logement en passant par un lien reçu par SMS, WhatsApp ou e-mail, c’est qu’il s’agit d’une escroquerie. Enfin, il faut impérativement « vérifier le lien ou le site utilisé pour le paiement ». Si vous remarquez une URL inhabituelle ou des fautes de frappe dans le nom de l’adresse, vous pourriez vous trouver sur un site programmé pour vous piéger.
Comme l’explique le chercheur, il n’existe pas de tactique bien précise pour identifier une image générée par IA, qui aurait été utilisée pour mettre en avant un logement ou une location saisonnière. Il n’existe « malheureusement pas de “détail magique” permettant d’identifier systématiquement une image générée par IA ». En revanche, certains signaux doivent alerter les internautes en quête d’un logement, comme « des offres trop avantageuses, des photos qui semblent irréalistes ou trop parfaites, des incohérences dans les descriptions, ou encore des demandes de paiement en dehors des plateformes officielles ».
Pour trier les offres frauduleuses des offres légitimes, il faut bien prendre le temps de faire des recherches avant de dégainer sa carte de crédit. La meilleure façon de se protéger contre les arnaques reste de multiplier les recherches, ainsi que les sources. Si vous croisez le même logement sur plusieurs plateformes en ligne, vous pouvez être rassuré : celui-ci existe probablement. Adresse, photos, avis clients ou coordonnées de contact… Vous devez vérifier toutes ces informations avant le moindre paiement. Pour vérifier l’adresse, servez-vous de Google Maps ou d’Apple Plans par exemple. En cas de doute, prenez le temps de contacter directement l’établissement, notamment par téléphone, ou encore la plateforme qui agrège les différentes offres, par le biais du service client.
Que faire si vous êtes tombé dans le piège des pirates ?
En dépit des précautions prises, vous êtes malheureusement tombé dans le piège tendu par les cybercriminels. Vous avez communiqué vos données personnelles, vos coordonnées bancaires ou vous avez versé de l’argent à des pirates.
La première chose à faire est de « contacter immédiatement » votre banque, ou votre « émetteur de carte bancaire » afin de sécuriser votre compte et l’avertir de la fraude. En cas de fraude avérée, votre banque a l’obligation légale de vous rembourser dans un délai maximal de 24 heures, sans attendre le résultat de ses propres investigations. Attention, cette protection ne s’applique que si la fraude remonte à moins de 13 mois. Au-delà, vous n’avez plus aucun recours légal pour obtenir une indemnisation.
Les victimes « doivent également surveiller attentivement leurs comptes et leurs transactions afin de détecter toute activité suspecte », bien après l’incident. Consultez scrupuleusement toutes les opérations inscrites sur votre compte, en particulier les prélèvements SEPA, souvent utilisés par les cybercriminels pour vous voler de l’argent. Comme 01net l’a démontré dans le sillage du hack de Free en 2024, il est bien possible de réaliser des prélèvements non autorisés sur un compte bancaire grâce au seul IBAN.
En cas de réservation effectuée via une plateforme telle qu’Airbnb, signalez immédiatement le problème à celle-ci. De nombreuses plateformes disposent d’un programme de garantie ou d’un service d’assistance aux victimes. Enfin, Norton recommande aux victimes de signaler la fraude « via des plateformes telles que PHAROS, SignalConso ou Cybermalveillance, selon la nature de la fraude», afin « d’éviter que d’autres voyageurs ne tombent dans le même piège ».
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
