Booking.com a confirmé : des tiers ont eu accès aux données personnelles des clients — noms, adresses email, numéros de téléphone et détails des réservations. Cela a été révélé par les messages que le service a commencé à envoyer aux utilisateurs affectés au cours de la semaine dernière.
Ce qui exactement a fui — et ce qui n'a pas fui
Selon TechCrunch, dans les lettres, la compagnie indique : les informations compromises peuvent inclure « les détails des réservations, les noms, les emails, les numéros de téléphone, ainsi que tout ce que vous avez transmis directement à l'établissement d'hébergement ». Les adresses physiques ont été exclues de la déclaration finale de Booking.com — un représentant de la compagnie a précisé pour TechCrunch qu'elles n'ont pas été obtenues par les cybercriminels. Les données de paiement et les mots de passe n'ont pas non plus été affectés.
Il semblerait qu'il s'agisse d'un ensemble limité. Mais c'est précisément là que se trouve le piège principal.
Pourquoi une fuite « incomplète » est plus dangereuse qu'une fuite complète
L'un des utilisateurs affectés a raconté à TechCrunch que, deux semaines avant la notification officielle, il avait reçu une tentative de phishing sur WhatsApp — et le message contenait les détails précis de sa réservation. L'escroc connaissait la date, l'hôtel, la somme. Il en savait assez pour sembler légitime.
« Même si les données de paiement n'ont pas été volées, cette fuite reste une menace sérieuse pour les voyageurs. Le danger actuel est la deuxième vague de fraudes ».
Adrianus Warmenhoven, expert en cybersécurité chez NordVPN, pour Travel Weekly
C'est un schéma classique : les cybercriminels ne tentent pas immédiatement de pirater le compte bancaire. Ils construisent la confiance par le contexte — et demandent la carte déjà « dans la conversation », où la victime ne soupçonne pas le danger. Booking.com dans sa lettre a averti : la compagnie ne demande jamais le numéro de carte via email, téléphone, SMS ou WhatsApp.
Ce que l'on sait sur l'ampleur et la source
Booking.com gère plus de 28 millions d'établissements d'hébergement dans le monde et est l'un des plus grands agrégateurs de voyage. Cependant, le nombre exact d'utilisateurs affectés n'a pas été divulgué par la compagnie. Comme le note Security Affairs, il n'est même pas clair pour le moment si les propres systèmes de Booking.com ont été compromis, ou si l'attaque s'est déroulée via des tiers — par exemple, via les hôtels ou les partenaires de la plateforme.
La compagnie a assuré qu'elle « a immédiatement pris des mesures pour localiser l'incident » et notifie uniquement les clients dont les données ont potentiellement été affectées.
Que faire dès maintenant
- Ignorer tous les messages sur WhatsApp ou SMS de « Booking.com » demandant de confirmer un paiement ou d'entrer les données de votre carte.
- Vérifier toutes les demandes uniquement via l'application officielle ou le site Web — sans cliquer sur les liens des emails.
- Être particulièrement attentifs si quelqu'un dans la conversation connaît les détails précis de votre réservation : cela ne prouve pas la légitimité.
Si Booking.com ne divulgue pas le nombre de personnes affectées avant la fin de l'enquête, les régulateurs de la protection des données — notamment la DPC irlandaise, qui supervise la compagnie dans l'UE — ont tout lieu d'exiger des explications : selon le RGPD, le délai de notification du régulateur est de 72 heures à partir de la découverte de la fuite.
