Cet été en France, sur les congés estivaux, viennent se greffer les Jeux olympiques, puis paralympiques. La saison touristique s’annonce intense, et l’afflux de visiteurs, massif. Les autochtones, eux, vont plutôt chercher à s’évader pour éviter la surpopulation. La période est donc propice aux réservations de locations saisonnières. Et les escrocs sont au rendez-vous. Comme toujours, ils surfent sur l’actualité. Depuis le début de l’année, les associations locales de l’UFC-Que Choisir ont ainsi collecté plusieurs témoignages d’utilisateurs du site de réservation de voyages Booking.com.

Une même arnaque pour plusieurs victimes

Nombre d’entre eux ont été victimes d’une même arnaque. Après avoir réservé un logement, en France ou à l’étranger, ils ont reçu un message, soit par courriel, soit via la messagerie de Booking, de la part de l’établissement choisi, exigeant qu’ils fournissent leurs coordonnées bancaires, sous un prétexte fallacieux.

L’une de ces personnes, qui avait retenu un séjour aux États-Unis, a raconté sa mésaventure : « Ce message envoyé via l’adresse de courriel officielle de Booking me demande une confirmation de ma réservation sous peine d’annulation, ma “carte n’ayant pu être vérifiée”. Le message contient toutes mes coordonnées, dates, numéro de réservation… il est parfait sur le fond et la forme. Je me rends sur le lien proposé et, pareil, je me retrouve sur le site officiel de Booking où l’on me demande de confirmer mes coordonnées bancaires. » Sauf que, si le courriel provient certes de la plateforme, l’URL insérée renvoie vers un faux site, qui imite très bien le vrai.

La suite est la même pour tous les individus abusés par ce stratagème : le consommateur donne les chiffres de sa carte bancaire et valide un pseudo-paiement de vérification censé être remboursé très rapidement. Le site illicite affiche une page d’erreur, précisant que l’opération n’a pas fonctionné. L’internaute est alors incité à recommencer l’opération. Quand il comprend qu’il est en train de se faire piéger, il est trop tard : il vient bel et bien de valider tous les paiements. L’argent s’envole, et les interlocuteurs malveillants deviennent injoignables. Le dommage financier peut s’élever à plusieurs centaines, voire milliers d’euros.

Usurpation d’identité

Le procédé dont relève cette escroquerie est connu : il s’agit d’un phishing (ou hameçonnage), arnaque en ligne très répandue qui vise à soutirer des données personnelles et de l’argent aux victimes. Dans cet exemple précis, les escrocs parviennent à obtenir les identifiants de connexion des propriétaires ou établissements référencés sur le site, via un autre vol de données. Ils créent aussi parfois une fausse annonce et vous invitent à les contacter par courriel. Mais agir via un profil existant renforce la crédibilité, car il contient des avis de voyageurs et de vraies informations.

À partir du compte piraté, les malfaiteurs envoient des messages en se faisant passer pour le vrai propriétaire, ni vus ni connus. Les textes servant d’appât sont bien rédigés, avec peu de fautes. Cependant, l’urgence de la demande de validation peut mettre la puce à l’oreille, surtout lorsque l’on vient de payer via Booking.com. Une telle requête manque de cohérence.

Remboursement refusé

Mais pourquoi les victimes se heurtent-elles la plupart du temps au refus de rembourser de Booking.com et de leur banque ? En effet, tous les consommateurs s’étant adressés à l’une de nos associations locales ont rencontré ce même écueil. Eh bien, le piège est trop parfait ! D’un côté, les arnaqueurs font sortir les internautes de la plateforme officielle pour qu’ils effectuent des paiements frauduleux sans s’en rendre compte. Et Booking.com, intermédiaire entre voyageurs et lieux de villégiature, n’est pas responsable de ce qu’il se passe en dehors de son site. De l’autre, les escrocs parviennent à faire valider à leurs victimes des opérations bancaires de leur plein gré et ainsi à contourner l’obligation de double authentification (dispositif visant à vérifier l’identité du payeur via un smartphone, notamment). La banque rétorque généralement à ses clients qu’il s’agit de transactions autorisées qu’elle n’a pas à indemniser. Certains réussissent à être remboursés, mais au terme d’une longue procédure.

Interrogée, la plateforme n’a pas étayé les raisons du refus de remboursement mais indique « [renforcer] constamment [ses] propres contrôles de sécurité », que de tels cas « restent très rares », et qu’ils sont tous « pris très au sérieux ». Le site dispense les conseils suivants : « En règle générale, aucune transaction légitime n’exige d’un client qu’il fournisse les détails de sa carte de crédit par téléphone, par SMS ou par courrier électronique. Si un voyageur a des doutes sur un message de paiement reçu, nous l’encourageons à vérifier la politique de paiement de l’hébergement, disponible sur la page d’annonce de ce dernier, ou à nous contacter directement. »

De façon plus générale, Jean-Jacques Latour, directeur expertise cybersécurité de la plateforme Cybermalveillance, invite les internautes à se méfier lorsqu’ils effectuent une réservation en ligne, sur Booking.com ou tout autre plateforme, notamment en cette période de congés et de JO. L’organisme dispense des conseils dans un article dédié. Plutôt que de gâcher vos vacances, restez informé !

Exemple de courriel de phishing reçu par une utilisatrice de Booking