Cinquante touristes ont été contraints de passer la nuit dans les escaliers et les couloirs d’un hôtel situé sur les très fréquentées Ramblas de Barcelone, malgré une réservation effectuée via la plateforme Booking.com.

À leur arrivée, les voyageurs ont découvert que leur réservation n’avait en réalité jamais été enregistrée. Aucune solution de relogement ne leur a été proposée, ni par l’établissement ni par la plateforme. « À notre arrivée à l’hôtel, il n’y avait plus de chambre disponible. La ville est complète. Ni l’hôtel ni la police n’ont pu nous aider », témoigne l’un des touristes auprès de la chaîne catalane 3Cat.

Plusieurs victimes évoquent la possibilité d’une arnaque en ligne. « Booking nous a facturé la nuitée. Ils devraient au moins nous répondre. Ce n’est pas seulement une question de paiement », s’étonne un client.

Booking victime d’une vague d’arnaques à la réservation détournée

Cet incident intervient dans un contexte déjà tendu pour la plateforme. Il y a deux semaines à peine, Booking.com a reconnu avoir été la cible d’une cyberattaque. L’entreprise évoquait des « activités suspectes » susceptibles d’avoir permis un accès non autorisé à certaines données clients et d’avoir affecté plusieurs réservations, sans toutefois préciser l’ampleur exacte de la faille.

Depuis, les témoignages d’utilisateurs piégés se multiplient. Le mode opératoire est bien rodé : après une réservation, les clients reçoivent un message frauduleux imitant parfaitement l’interface de Booking.com ou celle de leur hébergement. Le message les invite à « vérifier leurs informations » via un lien, qui redirige vers une page pirate où leurs coordonnées bancaires sont demandées.

Dans un courriel adressé à ses utilisateurs, l’entreprise basée à Amsterdam, qui revendique plus de 30 millions d’hébergements référencés, a confirmé que des « tiers non autorisés » pourraient avoir accédé à des données sensibles. Sont potentiellement concernées les identités, adresses postales et électroniques, numéros de téléphone, ainsi que d’autres informations fournies lors des réservations.

Booking.com rappelle qu’aucun établissement n’est censé demander directement des informations bancaires en dehors de la plateforme et appelle ses clients à la plus grande vigilance.

Des « failles systémiques » chez Booking ?

Ce n’est pas la première fois que le groupe est confronté à ce type d’incident. En 2018, une vaste opération de phishing avait permis à des pirates de compromettre les identifiants d’employés d’hôtels aux Émirats arabes unis, donnant accès aux données de plus de 4 000 clients.

La société est régulièrement accusée de passer systématiquement sous silence les violations de données. En 2020, l’Autorité néerlandaise de protection des données avait déjà sanctionné Booking.com d’une amende de 475 000 euros pour notification tardive d’une fuite de données.