Des vacances qui coûtent double : cette arnaque peut viser n'importe quel hôtel

Lorine Paccoret

Cette escroquerie redoutable vise les clients d'hôtels dans le monde entier. Voici le mécanisme bien huilé de ces arnaqueurs, pour vous faire payer vos séjours à prix fort.

Des vacances qui coûtent double : cette arnaque peut viser n'importe quel hôtel
© peopleimages12

Partir en vacances n'est pas donné à tous. Entre le transport, l'hébergement, les restaurants et autres activités sur place, la facture peut vite devenir salée. Pour beaucoup de Français, et notamment les familles, ces voyages nécessitent d'économiser longtemps à l'avance afin de ne pas creuser un trou dans le budget de l'année ! Alors imaginez, si vous deviez payer deux fois votre réservation d'hôtel… Malheureusement, c'est fort possible à cause d'un nouveau type d'arnaque qui vise les clients d'hôtels un peu partout dans le monde. 

L'arnaque paraît diaboliquement simple : vous recevez un mail ou même un message Whatsapp, prétendument de la part de votre hôtel. Tout y est parfaitement crédible : le ton est professionnel, votre nom et celui de l'établissement sont renseignés, les dates du séjour sont correctes, et le montant précis du paiement est indiqué sans la moindre erreur. Là, on vous demande de vérifier vos informations bancaires à cause d'une nouvelle politique de la plateforme de réservation, la plupart du temps Booking ou Expedia. Sur les forums internet, beaucoup pensent à un piratage des données du site de voyages lui-même. Pourtant, l'arnaque est bien plus sophistiquée. 

© Sekoia.io

Avant même les vacanciers, ce sont les hôtels qui sont visés par cette vaste escroquerie : les hackers ciblent directement les établissements, bien moins sécurisés que les sites importants comme Booking. Un mail est envoyé, prétextant par exemple une demande de réservation de dernière minute, avec un lien qui renvoie vers un site frauduleux parfaitement identique à celui de Booking. Une fois que le réceptionniste ou le gérant de l'hôtel est tombé dans le panneau, un logiciel malveillant est installé sur l'ordinateur et les pirates ont accès à toutes les informations : noms et adresses des clients, dates de réservation, etc. Données qui sont ensuite revendues sur le dark web, où les arnaqueurs n'ont qu'à se servir pour lancer ensuite des campagnes de phishing très crédibles. 

Les hôtels sont donc à la fois victimes et complices, malgré eux, de l'escroquerie. Mais pour les clients qui se sont fait avoir, la peine est double : ils ont donc payé l'hôtel une première fois, et finissent par verser un deuxième paiement aux hackers. Ce n'est pas pour rien que cette arnaque s'appelle "I paid twice", littéralement "j'ai payé deux fois" en français. C'est l'entreprise Sekoia, spécialisée en sécurité informatique, qui a enquêté sur cette vaste campagne et révélé son mode opératoire bien rodé. 

Malheureusement, il n'existe pas de solution miracle pour éviter ce piège qui circule au moins depuis le mois d'avril 2025, et qui ne cesse de prendre de l'ampleur partout dans le monde. Pour se protéger, le seul vrai réflexe à adopter est celui de ne jamais cliquer sur un lien dans un message, et de toujours se rendre soi-même sur le site officiel. Mais il existe aussi des "bloqueurs d'arnaques" à installer sur son téléphone ou ordinateur, qui détectent les liens frauduleux et en bloquent l'accès.