Comme on vous le disait récemment, les arnaques à la location battent leur plein en Europe, et notamment en France. Les chercheurs de Bitdefender ont d’ailleurs eu vent d’une campagne en cours sur WhatsApp. Cette campagne est active dans plus de dix pays d’Europe, dont la France, l’Allemagne, l’Espagne, le Portugal, la Roumanie et la Pologne. Plusieurs de nos proches ont d’ailleurs été contactés par des hackers qui ont adopté le même mode opératoire. Les attaques ont commencé en mars 2026.
Pour arriver à leurs fins, les pirates se font passer pour des hôtels. Tout commence lorsque vous réservez, le sourire aux lèvres, votre hôtel pour les vacances. Quelques jours plus tard, vous recevez un message WhatsApp qui prétend provenir de l’hôtel où vous comptez passer votre séjour.
A lire aussi : Arnaque par message – il suffit de 30 minutes pour perdre plus de 1000 euros, et tout le monde est visé
Des données authentiques comme appât
L’établissement vous informe qu’une vérification de votre réservation est nécessaire, faute de quoi elle sera annulée dans les 24 heures. Le message mentionne votre nom, vos dates de séjour, et l’adresse de l’hôtel. Tout semble parfaitement légitime, et toutes les informations communiquées sont authentiques. Les escrocs connaissent tout de votre futur séjour, parfois même le nom exact de la chambre que vous avez réservée, ou vos demandes particulières. Contrairement aux arnaques classiques qui s’appuient sur des messages génériques et bien souvent impersonnels, celle-ci utilise de vraies informations de réservation. Il est donc très facile de tomber dans le panneau.
Ces données ont été obtenues à la suite de cyberattaques. En amont de la campagne de phishing, les pirates se sont glissés dans le système informatique de l’hôtel, ou du prestataire qui a traité la réservation, pour y dérober des informations personnelles. Selon les investigations de Norton, un autre spécialiste de la sécurité informatique, une trentaine d’établissements hôteliers français se sont récemment fait pirater.
De son côté, Bitdefender pointe du doigt les violations de données enregistrées par Booking, l’une des principales plateformes de réservation en ligne. Le 13 avril 2026, Booking.com a en effet commencé à notifier ses clients que des « tiers non autorisés » avaient accédé aux données liées à leurs réservations. Les informations volées lors de cette intrusion comprennent les noms complets des voyageurs, leurs adresses postales et e-mail, leurs numéros de téléphone, ainsi que les messages échangés directement avec leurs hôtels.
Un an plus tôt, les chercheurs de Bitdefender Labs avaient déjà identifié une campagne ciblant les hôtels partenaires de Booking.com. Des pirates se faisaient alors passer pour la plateforme et envoyaient de fausses plaintes clients au personnel hôtelier. Ces fausses plaintes contenaient un logiciel malveillant, taillé pour voler les identifiants de connexion du personnel. Avec ces identifiants, les pirates pouvaient ensuite exfiltrer des informations relatives aux réservations.
Six campagnes actives
L’arnaque repose exclusivement sur WhatsApp. Les chercheurs de Bitdefender ont recensé au moins six campagnes actives sur WhatsApp. Au total, ce sont sept marques du secteur hôtelier dont l’identité a été usurpée, à savoir Ramada by Wyndham, Retraite SENSEA, Hôtel Leon D’Oro, Rihga Hotel Zest Takamatsu, Camping style Aminess Avalona, Hôtel & Spa Le Maury, et l’Impressionnant golf de Playa Granada.
« Ces organisations sont victimes d’usurpation d’identité et non à l’origine du problème de sécurité. Bitdefender ne dispose d’aucune preuve que l’une de ces marques ait été directement compromise ou impliquée dans l’activité frauduleuse », explique Bitdefender.
Les attaquants ont choisi la messagerie de Meta pour approcher leurs victimes tout en contournant les filtres anti-spam des boîtes mail. Selon Bitdefender, l’utilisation de WhatsApp maximise les chances d’établir un rapport de confiance avec la cible. Rédigés dans plusieurs langues dont le français, les messages piégés imitent le style de communication professionnel des hôtels, avec logos et formules de politesse à l’appui. Le lien intégré dans le message redirige vers un faux formulaire de paiement, qui va à la fois ponctionner la carte de la victime et s’emparer de ses coordonnées bancaires. Les pirates récupèrent les informations et peuvent s’en servir pour réaliser des virements frauduleux.
« Un individu malveillant qui connaît votre lieu de séjour, vos dates de voyage et vos coordonnées n’a pas forcément besoin de votre numéro de carte bancaire. Il peut simplement usurper l’identité de votre hôtel et vous convaincre de le lui communiquer », résume le rapport de Bitdefender.
Bitdefender recommande donc de rester vigilant. Si vous recevez un message de votre hôtel vous demandant de confirmer ou de modifier votre réservation, ne cliquez sur aucun lien et ne communiquez aucune information bancaire. Contactez directement l’établissement par téléphone ou via le site officiel sur lequel vous avez effectué votre réservation.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
