Une fuite de données chez Booking.com, révélée en avril 2026, alimente depuis plusieurs semaines une vague d’arnaques ciblées. Les escrocs contactent les clients sur WhatsApp en utilisant leurs véritables informations de réservation, rendant les messages frauduleux particulièrement crédibles.
Un accès non autorisé aux données de réservation
La plateforme de réservation a reconnu mi-avril 2026 qu’un « accès non autorisé » à des informations de réservation avait eu lieu. Booking.com a indiqué avoir « immédiatement pris des mesures pour contenir l’incident », selon un courriel envoyé aux clients concernés, cité par la BBC le 15 avril 2026.
Les données exposées incluent les noms, adresses électroniques, numéros de téléphone, adresses postales ainsi que les détails des réservations passées et en cours (hôtel, dates, référence de séjour). Les informations financières et bancaires n’ont pas été compromises, a confirmé l’entreprise.
Booking.com a réinitialisé les codes PIN des réservations concernées et adressé des courriels d’avertissement aux clients potentiellement touchés. La plateforme refuse toutefois de communiquer le nombre de personnes affectées ou les régions concernées, d’après la BBC.
Des messages WhatsApp aux détails exacts
Le mécanisme de l’arnaque repose sur la précision des données dérobées. Les escrocs envoient des messages WhatsApp se faisant passer pour l’hébergement réservé, en citant le nom exact de l’établissement, les dates du séjour et la référence de réservation. Le message invite le destinataire à confirmer sa réservation ou à effectuer un paiement complémentaire.
En France, des cas ont été signalés dans plusieurs départements. La Charente Libre a rapporté le témoignage d’une cliente qui a reçu un message contenant toutes ses coordonnées exactes. « En cliquant sur le lien, toutes mes coordonnées étaient correctes mais c’est le prix de la nuit qui m’a fait tiquer », a-t-elle déclaré au quotidien régional. Des signalements similaires ont été recensés en Belgique, selon L’Avenir, et en Suisse d’après le média 20 minutes.
Le vecteur principal est WhatsApp, mais des tentatives passent également par SMS, courriel et, dans certains cas, par le système de messagerie interne de Booking.com lorsque le compte d’un hôtel partenaire a été compromis.
Mise en garde de la plateforme et des experts
Booking.com rappelle qu’elle ne demande « jamais aux clients de partager leurs coordonnées bancaires par courriel, par téléphone, par WhatsApp ou par SMS, ni d’effectuer un virement bancaire différent de la politique de paiement indiquée dans leur confirmation de réservation ».
Pour Luis Corrons, expert en sécurité chez Norton, cité par la BBC, ces données donnent aux criminels « une précision qui rend l’arnaque semblable à un service client ordinaire ». Darren Guccione, PDG de Keeper Security, a estimé auprès de la même source que « le passage d’une fuite de données à des campagnes de hameçonnage actives en quelques jours » suggère une opération « délibérée plutôt qu’opportuniste ».
Ces arnaques par détournement de réservation existent depuis mars 2023, mais l’incident d’avril 2026 a renforcé le niveau de menace, les pirates pouvant désormais contacter directement les clients sans avoir à compromettre au préalable les comptes des hôtels partenaires.
Booking.com invite les clients ayant reçu un message suspect à le signaler via l’application officielle et à contacter leur établissement par ses coordonnées habituelles. La plateforme n’a pas annoncé de calendrier pour la clôture définitive de l’incident.
