AgenceEvana
Retour aux bulletins
Élevée2026-04-14CVSS N/Abreachphishingdonnées-personnellessupply-chainbookingstorm-1865clickfix

Fuite de données Booking.com : réservations exposées, vague de phishing ciblé en cours

Booking.com a notifié ses clients le 13 avril 2026 qu'un accès non autorisé a exposé des données de réservation : noms, e-mails, téléphones, adresses et détails de séjour. L'attaque passe par la compromission de partenaires hôteliers via la technique ClickFix.

Contexte

Le 13 avril 2026, Booking.com a commencé à notifier ses clients d'une violation de données ayant permis à des tiers non autorisés d'accéder aux données de réservation. La plateforme comptabilise plus de 100 millions d'utilisateurs actifs et 500 millions de visites mensuelles. L'étendue précise de l'incident n'a pas été communiquée.

Mécanisme d'attaque

L'attaque n'a pas ciblé les systèmes de Booking.com directement, mais ses partenaires hôteliers. Le groupe criminel Storm-1865, identifié par Microsoft, a utilisé la technique ClickFix : des employés d'hôtels ont été piégés par des pages web malveillantes leur demandant d'exécuter une commande PowerShell présentée comme un "correctif technique". Ce malware a ensuite permis de compromettre les comptes partenaires connectés à la plateforme.

Ce vecteur d'attaque — cibler un fournisseur pour atteindre ses clients — est une attaque de chaîne d'approvisionnement (supply chain) de plus en plus répandue.

Données exposées

  • Noms et prénoms
  • Adresses e-mail
  • Numéros de téléphone
  • Adresses postales
  • Dates et détails de réservation
  • Messages échangés avec les hôtels via la plateforme

Les informations bancaires et financières ne sont pas concernées.

Risques post-breach

Les données volées permettent de monter des attaques de phishing extrêmement crédibles. Des signalements font état de messages WhatsApp reçus par des voyageurs avant même la notification officielle de Booking.com, contenant des détails de réservation exacts pour paraître légitimes, avec des demandes de "modification de paiement" ou de "confirmation urgente".

Une voyageuse australienne a perdu 100 $ à un escroc se faisant passer pour le support Booking.com quelques jours avant son départ.

Que faire si vous avez reçu une notification

  1. Ignorez tout message non sollicité concernant votre réservation — WhatsApp, SMS, e-mail inclus
  2. Connectez-vous directement sur le site ou l'application officielle Booking.com pour vérifier votre réservation
  3. Ne cliquez sur aucun lien reçu par message en lien avec votre séjour
  4. Votre PIN de réservation a été réinitialisé par Booking.com — mettez-le à jour uniquement via l'application officielle
  5. Signalez tout contact suspect via le formulaire officiel de Booking.com

Recommandations générales

  • Méfiez-vous des demandes de paiement de dernière minute liées à une réservation existante — une plateforme légitime ne vous demandera jamais de repayer via WhatsApp
  • Utilisez un e-mail dédié aux voyages pour limiter l'impact d'une éventuelle fuite
  • Activez l'authentification à deux facteurs sur votre compte Booking.com
  • Pour les professionnels de l'hôtellerie : formez vos équipes à reconnaître les techniques ClickFix — méfiez-vous de toute page web vous demandant de coller et exécuter une commande dans le terminal ou PowerShell