Plus tôt cette année, l'association de consommateurs Which? a publié un rapport détaillé révélant de nombreuses arnaques et des problèmes de sécurité sur Booking.com.
Lors d’un récent voyage, j’ai réservé un hôtel d’aéroport pour une escale à Jakarta. Je suis passé par Booking.com, en choisissant l’option de prélèvement automatique sur carte quelques jours avant le séjour.
Une semaine avant le départ, j’ai reçu un message WhatsApp se faisant passer pour l’hôtel de l’aéroport de Jakarta. Il affichait la photo de profil d’une personne qui semblait être un membre du personnel, et le message reprenait mon nom complet, ma référence de réservation et les dates de mon séjour.
Le message expliquait que, pour garder ma réservation « sécurisée », je devais vérifier certaines informations. Il m’invitait à cliquer sur un lien où l’on me demanderait de vérifier temporairement mon moyen de paiement, sans qu’aucun débit ne soit effectué.
Le message m’avertissait que, si je ne terminais pas la procédure dans les 24 heures, le système pourrait annuler automatiquement ma réservation.
Depuis peu, des alertes ont commencé à apparaître sur le site de Booking.com pour inciter les utilisateurs à se méfier du phishing et de l’usurpation d’e-mails.
Heureusement, j’avais pris ces avertissements au sérieux et je connaissais les signaux : demander de cliquer sur un lien et imposer un délai pour accomplir la démarche sont des classiques.
J’ai suivi les consignes de Booking.com et signalé le message suspect. Le lendemain, un appel téléphonique m’a confirmé qu’il ne venait pas de l’hôtel et que je devais le supprimer.
Si mon prochain séjour était assuré, je restais tout de même troublé par la quantité d’informations personnelles que l’escroc avait réussi à glaner sur ma réservation.
Plus tôt cette année, l’organisation de défense des consommateurs Which? a publié un rapport approfondi révélant une myriade d’arnaques et de failles de sécurité sur Booking.com. Mon message de phishing ne semblait être que la partie émergée d’un iceberg très inquiétant.
La prolifération des annonces frauduleuses sur Booking.com
Booking.com est un mastodonte international avec plus d’un milliard de réservations par an, qui se dispute avec Airbnb le leadership des sites de réservation d’hébergements de vacances.
L’enquête de Which? a conclu qu’une partie de son attrait tient à la facilité avec laquelle entreprises et propriétaires peuvent y référencer leurs biens.
L’organisme a testé la procédure et a pu mettre en ligne une maison de vacances en moins de 15 minutes.
« Nous n’avons pas eu à fournir la preuve de notre identité. Et, contrairement à Vrbo d’Expedia (ou à Airbnb, la dernière fois que nous avons essayé), on ne nous a pas demandé de présenter un permis de conduire ou un passeport », écrit le chercheur principal Trevor Baker.
Si cela peut nourrir le succès de Booking.com, cela facilite aussi la fraude sur le site.
Une enquête menée par Which? en 2024 a révélé que, en l’espace de quelques mois, des centaines de personnes avaient déclaré avoir perdu de l’argent à cause d’annonces frauduleuses.
Booking.com a supprimé celles signalées par Which? et a affirmé qu’il ne s’agissait que de propriétaires qui « avaient oublié de désactiver la disponibilité lorsque l’hébergement avait fermé définitivement ou temporairement ».
Mais lorsque les enquêteurs sont revenus quelques mois plus tard, ils ont trouvé encore d’autres établissements avec des centaines d’avis négatifs avertissant que l’hébergement était une arnaque.
Des voyageurs ont raconté s’être présentés à des adresses qui n’existaient pas et avoir dû se débrouiller en urgence pour trouver une solution de rechange. Beaucoup ont ensuite peiné à obtenir un remboursement de Booking.com.
Les annonces frauduleuses survivent en masquant les mauvais avis
Le site d’hébergement a indiqué à Which? qu’il limitait les nouveaux hôtes avant qu’ils puissent accepter des réservations avec prépaiement, afin d’éliminer les annonces frauduleuses.
« Il est vrai que nous n’avons pas pu accepter de prépaiement pour l’annonce que nous avons créée ; il nous faudrait d’abord quelques réservations et avis. Mais ce n’est pas insurmontable pour un escroc », écrit Baker.
Si une fausse annonce parvient à passer entre les mailles, elle réussit souvent à continuer de piéger des clients à cause du système d’avis de Booking.com.
« Cliquez sur une location de vacances dans le centre de Podgorica, au Monténégro, et vous serez rassuré par la note de 6,4, que Booking.com qualifie d’« agréable ». »
« Les deux premiers avis affichés la décrivent comme “superbe” (9/10) et “bien” (7/10). Cependant, il faut avoir l’œil pour remarquer que Booking.com vous présente les avis qu’il a, de façon inexplicable, jugés les “plus pertinents”. »
En revanche, si vous basculez l’affichage sur “plus récents”, vous verrez que, pour ce bien, 10 des 12 derniers avis la décrivent comme une “arnaque”, une “escroquerie” et “un cauchemar”.
Sous la pression de Which? l’an dernier, le site d’hébergement a indiqué qu’il allait modifier son système pour donner davantage de visibilité aux avis récents. Mais, à ce jour, l’option par défaut reste “les plus pertinents”.
Des messages de phishing demandant de confirmer les réservations
Et puis il y a ce qui m’est arrivé. D’autres voyageurs ont également signalé avoir reçu des e-mails, des messages WhatsApp ou même des messages via la messagerie de Booking.com leur demandant de confirmer une réservation.
Certains de ces messages vous demandent de cliquer sur un lien pour “vérifier des informations”, d’autres réclament carrément un paiement.
La plupart s’accompagnent d’une contrainte de temps, si bien que, même si vous contactez Booking.com, vous risquez de ne pas obtenir de réponse avant l’échéance et de vous sentir contraint de payer.
Le fait que des escrocs aient pu utiliser les canaux de communication officiels de Booking.com est particulièrement inquiétant.
« Lorsque nous avons enquêté sur les fraudes Airbnb en 2017, nous étions à l’aise pour dire aux gens qu’ils seraient en sécurité tant qu’ils ne communiqueraient que via la messagerie d’Airbnb », écrit Baker.
« Ce n’est pas le cas avec Booking.com. Si ses hôtels et hôtes ont été piratés, il peut être très difficile de savoir si le message que vous recevez provient réellement de l’hôtel ou d’un escroc. »
Booking.com mise sur l’IA pour contrer les escrocs
Au cours de l’enquête, Which? a reçu des témoignages d’utilisateurs ayant perdu des centaines d’euros. Pour certains, des voyages entiers ont été gâchés. Beaucoup n’ont obtenu un remboursement qu’après l’intervention de Which? en leur nom.
Alors, comment Booking.com travaille-t-il à améliorer la sécurité des utilisateurs ? En se tournant vers l’IA.
« Nous continuons d’investir massivement et d’exploiter les dernières techniques d’IA et d’apprentissage automatique pour identifier et bloquer les activités suspectes le plus rapidement possible », indique un porte-parole à Euronews Travel.
« Cette technologie nous permet d’analyser les schémas de trafic, de détecter les anomalies et de bloquer les activités suspectes avant qu’elles n’atteignent nos clients. »
Certains propriétaires ont également indiqué que le site avait renforcé l’an dernier la sécurité pour les hôtels et les hôtes.
Ils doivent désormais utiliser une procédure en deux étapes, appelée authentification à deux facteurs (2FA), pour accéder à leurs comptes et à leurs messages, ce qui devrait rendre le piratage de comptes bien plus difficile pour les fraudeurs.
Les clients peuvent eux aussi activer la 2FA, mais des utilisateurs ont signalé des dysfonctionnements.
Selon Which?, toutefois, il reste encore beaucoup à faire.
« L’incapacité de Booking.com à bloquer les liens malveillants, à supprimer les annonces “frauduleuses” et, jusqu’à récemment, à imposer la 2FA aux hôtes trahit un certain laxisme vis-à-vis de la sécurité des utilisateurs », indique le rapport.
« Et sa décision d’afficher les avis supposés “les plus pertinents” plutôt que “les plus récents” était déroutante. Nous reconnaissons que c’est plus sûr qu’il y a un an. Mais, à nos yeux, Booking.com a été trop lent à comprendre à quel point ses outils ont été facilement détournés par des escrocs pour soutirer de l’argent. »