Après une réservation sur Booking, certains voyageurs reçoivent un message demandant un paiement ou une vérification bancaire. Derrière cette relance en apparence banale peut se cacher une arnaque particulièrement convaincante.
Booking : attention à cette demande reçue juste après avoir réservé
By
Last modified on 13 avril 2026 10h24
11,6%Le piratage de compte représente 11,6% des demandes d’assistance des particuliers dans le rapport d’activité 2025 de Cybermalveillance.gouv.fr.
Le procédé inquiète car il intervient au moment où le client pense être dans un échange normal avec son hôtel ou avec Booking. Message crédible, demande urgente, lien de paiement : les signaux ne sont pas toujours évidents à repérer. Pourtant, plusieurs alertes récentes montrent que cette fraude prend de l’ampleur.
Les messages frauduleux arrivent dans le prolongement d’une vraie réservation Booking
Le cœur de cette arnaque Booking est simple : le voyageur reçoit un message présenté comme une formalité habituelle, avec une demande de paiement, de mise à jour de carte bancaire ou de validation de réservation. Booking.com rappelle pourtant une règle sans ambiguïté : « Aucune transaction légitime, qu’il s’agisse d’un paiement ou d’une modification de réservation, ne vous demandera de payer avec des cartes-cadeaux ni de communiquer vos données bancaires par téléphone, SMS ou e-mail », indique la plateforme. Cette consigne figure noir sur blanc dans ses conseils de sécurité destinés aux voyageurs.
C’est précisément ce qui rend la fraude efficace : le message arrive au bon moment. Il ne ressemble pas à un spam envoyé au hasard, mais à une suite logique de la réservation. D'après Clubic, le scénario décrit est celui d’un client contacté peu après son achat par un message suffisamment crédible pour l’inciter à cliquer sur un lien ou à ressaisir ses coordonnées bancaires. Le contexte de voyage devient alors l’outil principal de l’escroquerie.
Les comptes d’hôtels compromis jouent un rôle clé dans la mécanique
Le sujet ne concerne pas seulement les particuliers. Microsoft a documenté, en mars 2025, une campagne de phishing se faisant passer pour Booking.com et visant les organisations du secteur de l’hospitalité. Le groupe écrit : « À partir de décembre 2024, à l’approche de certaines des journées les plus chargées pour les voyages, Microsoft Threat Intelligence a identifié une campagne d’hameçonnage usurpant l’identité de Booking.com et ciblant des organisations du secteur hôtelier », rapporte Microsoft. L’entreprise précise que cette campagne utilisait la technique dite ClickFix pour déployer plusieurs malwares voleurs d’identifiants, dans le but de mener des fraudes financières et des vols de données.
Cette analyse éclaire le risque côté client : un voyageur peut être visé parce qu’un professionnel a lui-même été compromis en amont. Cybermalveillance.gouv.fr le mentionne explicitement dans son rapport d’activité 2025 en évoquant des cas de « piratage de compte Booking.com d’hôtels menant à des tentatives d’hameçonnage ciblé auprès des clients de l’établissement ».
Les vraies procédures de Booking compliquent la lecture pour le voyageur
Le piège est d’autant plus subtil qu’il existe aussi de vraies relances après réservation. Dans son espace partenaires, Booking.com précise en effet : « Une fois la carte signalée comme invalide, le client reçoit un e-mail et un SMS lui demandant de fournir de nouvelles informations dans les 24 heures », selon la procédure décrite aux hébergeurs. Autrement dit, le voyageur peut bel et bien recevoir un message légitime après sa réservation. C’est cette réalité opérationnelle qui rend les faux messages plus difficiles à distinguer.
Mais la frontière reste claire : la plateforme indique que les paiements ou modifications légitimes ne doivent pas passer par l’envoi direct de données bancaires par téléphone, SMS ou e-mail, et elle recommande de vérifier toute demande directement depuis ses canaux officiels. Elle précise aussi que si un hébergeur réclame un paiement non prévu dans les conditions affichées au moment de la réservation, il ne faut pas l’envoyer.
Les signaux d’alerte sont concrets et souvent répétitifs
Trois indices doivent faire lever le doute immédiatement. Le premier est l’urgence : un message qui impose un paiement dans les heures qui suivent ou menace d’annuler la réservation cherche à provoquer une réaction rapide. Le deuxième est le canal : tout lien externe ou toute demande de transmettre sa carte en dehors du parcours habituel doit être considéré avec prudence. Le troisième est le type de demande : ressaisir ses coordonnées bancaires à la main, répondre à un SMS ou payer via un lien inattendu ne correspond pas aux recommandations de sécurité de Booking.com.
Le bon réflexe consiste à sortir du scénario imposé par le message reçu. Il faut rouvrir soi-même l’application ou le site officiel, vérifier les conditions de réservation, puis contacter l’établissement ou le support via les coordonnées retrouvées indépendamment du message suspect. Cette discipline est devenue essentielle alors que les campagnes de phishing se personnalisent de plus en plus et s’appuient sur un contexte réel.
Avant tout règlement, il faut vérifier si la demande figure bien dans les conditions de réservation, si elle vous demande d’envoyer vos données bancaires hors du parcours normal, si elle impose un délai anormalement court et si elle provient bien d’un canal officiel consulté par vos propres moyens.