[TRIBUNE] Pourquoi le tourisme est structurellement exposé aux cyberattaques par phishing, et comment peut-il se protéger ?
Suite à la découverte des 4300 faux sites de voyage pour voler les données bancaires des clients, Samy Reguieg, directeur général France et Afrique d’Acronis, éditeur dans le domaine de la cybersécurité, signe une tribune dans laquelle il explique comment l’industrie du tourisme, très vulnérable, peut se protéger.
« Le secteur du tourisme figure parmi les plus ciblés par les campagnes de phishing à l’échelle mondiale. Il arrive en deuxième position, juste derrière la logistique. Une exposition qui résulte d’une forte interconnexion entre hôtels, plateformes de réservation, prestataires et voyageurs. Si ces plateformes sont devenues indispensables, la multiplication des points d’accès élargit significativement la surface d’attaque : désormais, la moindre compromission peut affecter l’ensemble de la chaîne de valeur.
En fin d’année 2025, une vaste campagne de phishing visant l’industrie du tourisme a été mise au jour. 4 300 faux sites imitant Booking.com, Airbnb ou Expedia ont été créés par des cybercriminels afin de dérober, entre autres, des données de paiement. Ces sites ciblaient à la fois les voyageurs et les professionnels du tourisme.
Pourquoi ces attaques fonctionnent ?
Cette campagne ne se distingue pas tant par sa sophistication technique que par son industrialisation à grande échelle. Les pirates exploitent la saisonnalité des voyages et la notoriété des marques. Pour qu’une attaque de phishing réussisse, elle doit créer un sentiment d’urgence et de confusion chez sa cible. Simuler une transaction frauduleuse que la victime doit soudainement chercher à annuler figure parmi les leviers les plus efficaces. L’usurpation de plateforme de réservation reste de loin l’approche la plus courante, même si de nombreuses variantes existent.
Les professionnels, notamment les hôtels, reçoivent des messages qui semblent envoyés par Booking.com ou Expedia et qui évoquent un incident grave lié à une réservation ou à un paiement. Ils ciblent également les voyageurs en les invitant à « confirmer leur réservation au plus vite ». La cible est alors redirigée vers une fausse page de confirmation, en tout point identique à l’originale, mais comportant de faux CAPTCHA imitant Cloudflare ainsi que de fausses procédures de vérification 3D Secure. Les données bancaires ainsi captées servent ensuite à initier une transaction en arrière-plan.
Une infection personnelle peut conduire à une compromission professionnelle.
En ce début d’année 2026, une nouvelle attaque de type ClickFix se propage, toujours dans le secteur de l’hôtellerie, visant principalement les hôtels et les agences de voyage. Un faux courriel de Booking signale une annulation de réservation accompagnée d’un remboursement important, dans le but d’inquiéter la cible. Lors de la navigation sur le faux site, à l’apparence très proche de celle de Booking, un faux écran bleu de la mort (BSOD) Windows apparaît, accompagné d’un message invitant à copier et coller, au clavier, une commande censée débloquer la situation. Cette action télécharge et installe un logiciel espion (AsyncRAT) sur l’ordinateur, donnant aux pirates la capacité de voir et d’enregistrer toutes les frappes clavier, à commencer par les identifiants et mots de passe.
À l’ère de l’industrialisation du phishing
L’ampleur de ces opérations illustre l’industrialisation de la cybercriminalité. Elles s’inscrivent dans une tendance plus large : le phishing-as-a-service, qui permet à des acteurs peu techniques de lancer des campagnes sophistiquées à l’aide de kits prêts à l’emploi. C’est la réalité qui se cache derrière la campagne ClickFix/PureRAT, reposant sur une infrastructure massive. ClickFix se commercialise sur le dark web sous forme de service, ce qui accélère la diffusion des attaques. Couplé à l’usage de l’intelligence artificielle, ce modèle renforce la crédibilité des messages et des interfaces frauduleuses, augmentant mécaniquement le potentiel de dommages. Identifiants, portefeuilles de cryptomonnaies et réseaux locaux peuvent ainsi être compromis. Une infection personnelle peut conduire à une compromission professionnelle.
Les mesures de protection prioritaires à mettre en œuvre
- Rompre avec la confiance et la fiabilité implicites accordées à l’email. Dans le tourisme, il constitue le vecteur initial de la majorité des compromissions. Au-delà de l’attention portée aux signaux d’alerte habituels (orthographe inhabituelle, adresse d’expéditeur, absence de HTTPS dans l’URL, etc.), toute demande liée à une réservation, un paiement ou un remboursement doit être vérifiée via un accès direct à la plateforme ou à l’application concernée, sans jamais cliquer sur un lien reçu. Cette discipline opérationnelle réduit fortement l’efficacité des campagnes de phishing, y compris les plus industrialisées.
- Considérer les plateformes de réservation comme des tiers à haut risque. Leur rôle central dans la chaîne de valeur génère un effet de propagation. Un seul maillon compromis peut rapidement impacter partenaires, agences et clients. D’où la nécessité d’une gouvernance stricte des accès, d’une segmentation des comptes et d’une réduction des privilèges afin de contenir ce risque.
- Adapter les programmes de sensibilisation. Le facteur humain reste le maillon faible. Les attaques actuelles exploitent l’urgence commerciale, la saisonnalité et la pression client. Elles jouent sur le stress et la précipitation. La formation doit donc s’appuyer sur des scénarios métiers réalistes : annulation, litige, remboursement. C’est à cet endroit précis que se joue aujourd’hui la majorité des compromissions.
- Renforcer les contrôles financiers et de paiement. Les organisations touristiques doivent instaurer des circuits d’approbation pour les remboursements élevés ou atypiques. Une surveillance des modifications rapides de comptes — changement de contact ou de bénéficiaire — s’impose, au même titre que des systèmes de détection des fraudes capables d’identifier des schémas anormaux dans les modifications de réservation. Les transactions hors zone géographique habituelle ou de montant élevé doivent déclencher une vérification manuelle. Ces contrôles bloquent ainsi l’extraction de fonds, même après compromission d’identifiants.
- Mettre en place une vérification secondaire automatisée (« Trust but verify »)
Lorsqu’un client initie une opération sensible — remboursement ou modification de réservation — le système doit demander automatiquement une confirmation via un canal distinct : SMS, notification push ou email sur le compte enregistré et obtenir une validation explicite de l’utilisateur avant de traiter l’opération. Toute action divergente par rapport aux habitudes connues du client doit être signalée. Ce mécanisme, qui associe discipline opérationnelle et contrôle technique, intercepte les fraudes au moment critique, même en cas d’utilisation d’identifiants volés.
Le tourisme repose sur la confiance et la fluidité des échanges numériques. Cette dépendance crée une vulnérabilité structurelle. Seule une combinaison de rigueur opérationnelle, de gouvernance des accès et de contrôles techniques avancés peut contenir un risque désormais industrialisé. »