Voyageurs, attention : les détails de votre réservation d'hôtel pourraient être compromis. Des chercheurs en sécurité ont découvert une campagne généralisée ciblant des centaines d'hôtels dans le monde, entraînant le vol d'informations de voyage sensibles utilisées pour élaborer des attaques de phishing très efficaces. Ces escroqueries, connues sous le nom de "détournement de réservations", sont conçues pour tromper les victimes et les inciter à divulguer les détails de leur carte de crédit. **Ampleur de l'attaque** Selon une analyse de **Norton**, au moins 350 hôtels, locations de vacances, motels et maisons d'hôtes dans 50 pays ont été pris dans ce stratagème. Les données volées, y compris les noms de réservation et les informations de réservation, sont utilisées pour créer des messages de phishing personnalisés qui semblent légitimes, augmentant la probabilité que les destinataires cliquent sur des liens malveillants. "C'est vraiment ciblé", déclare Luis Corrons, qui a dirigé la recherche chez **Gen**, la société mère de Norton. Les sites Web de phishing analysés contenaient des noms d'hôtels, des prix variables adaptés à chaque victime et des détails spécifiques d'arrivée/départ. "C'est du spear phishing ciblant la victime spécifique avec les détails réels de la réservation." L'Allemagne semble être le pays le plus touché, suivi de la France, du Royaume-Uni, de l'Italie, de l'Espagne et des États-Unis. Les hébergements ciblés ont une capacité combinée d'environ 80 000 clients. Corrons note que la plupart des établissements touchés sont des hôtels de petite et moyenne taille. **Le Phishing-as-a-Service amplifie la menace** Les conclusions soulignent la sophistication croissante des cybercriminels qui développent et étendent continuellement des logiciels de "phishing-as-a-service". Ces kits leur permettent d'envoyer des millions de messages frauduleux en usurpant l'identité de diverses marques mondiales. Selon les données du **FBI**, les Américains ont perdu plus de 200 millions de dollars à cause des attaques de phishing l'année dernière seulement. L'enquête de Norton a débuté en décembre après l'identification d'un message de phishing d'apparence réaliste envoyé via WhatsApp, usurpant l'identité de **Booking.com**. Le message incluait des dates de réservation et une demande de confirmation des détails via un lien. Ce lien menait à un faux site Web avec un chatbot conçu pour voler des informations sensibles. **Comment les pirates obtiennent les détails de réservation** Les pirates peuvent acquérir les détails de réservation de vacances par plusieurs méthodes, y compris la compromission des systèmes hôteliers ou l'exploitation de services de réservation tiers. Ils peuvent envoyer des e-mails contenant des malware au personnel de l'hôtel pour voler les identifiants de connexion. Des recherches antérieures de Norton ont mentionné **Booking.com** et le système de gestion hôtelière **CloudBeds** comme cibles potentielles. "Nous avons pu obtenir certains des messages reçus par le personnel de l'hébergement pour les faire tomber dans le piège du phishing", déclare Corrons. Corrons souligne que tous les messages de phishing ne résultent pas d'une compromission directe des systèmes hôteliers. Des informations provenant d'autres violations de données ou de systèmes non liés pourraient également être utilisées. "Le point commun est que les criminels utilisent le contexte réel des réservations et poussent les voyageurs dans un flux de vérification ou de paiement frauduleux." Bien que Norton enquête toujours sur les auteurs, il semble qu'ils utilisent des kits de phishing pour automatiser le processus. La société a partagé ses conclusions avec **Europol**, bien que l'agence ait refusé de commenter. Un porte-parole de Booking.com a déclaré : "Nous continuons de renforcer nos défenses pour réduire les risques et limiter les opportunités pour les acteurs malveillants de cibler nos partenaires d'hébergement et nos clients, et nous constatons des résultats." Cloudbeds affirme qu'il n'a pas été piraté et que les attaques sont des campagnes de credential-phishing ciblant le personnel et les clients de l'hôtel. Aaron Ownbey, vice-président de l'ingénierie chez Cloudbeds, explique : "La raison pour laquelle ces escroqueries sont si efficaces est que l'attaquant ne devine pas : il sait exactement qui est le client, quand il arrive et ce qu'il a payé." **Stratégies d'atténuation** **Don Smith**, vice-président de la recherche sur les menaces chez **Sophos**, souligne que les petits hôtels manquent souvent de mesures de sécurité robustes comme l'authentification multifacteur. Il cite un incident où un employé d'hôtel a été trompé pour télécharger le **Vidar** info stealer après avoir cliqué sur un lien dans un e-mail prétendant provenir d'un client ayant perdu son passeport. Cela a conduit à l'envoi de messages frauduleux depuis le compte Booking.com de l'hôtel. "Les acteurs de la menace aiment le contexte car le contexte rend un leurre de phishing beaucoup plus convaincant", déclare Smith. Corrons conseille aux voyageurs d'être prudents et de vérifier tout message suspect en contactant directement l'hôtel ou la location de vacances par d'autres moyens. "Même si les données du message sont réelles", prévient-il, "cela ne signifie pas que vous pouvez faire confiance au message." Ownbey recommande à l'industrie hôtelière d'élever collectivement son niveau de sécurité grâce à une meilleure formation du personnel de réception, une adoption plus large de l'authentification résistante au phishing et des contrôles plus stricts sur la manière dont les données des clients sont accessibles et exportées depuis n'importe quelle plateforme.