Faux hôtels, escroqueries aux billets d'avion et pièges touristiques liés à l'IA représentent un risque croissant pour les voyageurs
Les escroqueries numériques liées aux voyages ne se limitent plus aux annonces suspectes, aux appartements inexistants et aux messages électroniques mal traduits. À l'approche de la nouvelle saison estivale des voyages, les voyageurs du monde entier sont confrontés à des formes de fraude beaucoup plus convaincantes : de faux sites d'hôtels qui ressemblent presque exactement aux sites officiels, des annonces d'hébergement avec des photos pouvant être créées par intelligence artificielle, des messages de phishing contenant de véritables données de réservation et des offres de billets d'avion qui disparaissent dès que le paiement est effectué.
Selon les avertissements de la Federal Trade Commission américaine, connue sous l'abréviation FTC, les escroqueries liées aux voyages commencent souvent par une annonce, un appel téléphonique, un message ou un e-mail proposant des voyages gratuits, exceptionnellement avantageux ou limités dans le temps. La Commission avertit que de telles offres peuvent cacher des entreprises malhonnêtes ou des groupes criminels, et que les conséquences pour le consommateur peuvent être le paiement de frais cachés, la perte d'argent ou la divulgation de données personnelles et financières. Les demandes de paiement par virement bancaire, cartes cadeaux, cryptomonnaies ou applications de transfert d'argent sont particulièrement mises en avant, car ces modes de paiement laissent souvent aux victimes peu ou pas de possibilité de récupérer les fonds.
L'ampleur du problème est également visible dans les statistiques plus larges sur la fraude. La FTC a annoncé qu'en 2024 les consommateurs avaient déclaré plus de 12,5 milliards de dollars de pertes dues à la fraude, soit 25 pour cent de plus que l'année précédente. AARP, citant les données de la FTC, indique qu'en 2025 plus de 64.000 signalements de fraudes liées aux voyages, aux vacances et aux arrangements de multipropriété ont été enregistrés.
Les faux sites d'hôtels paraissent de plus en plus professionnels
L'une des formes les plus répandues de fraude concerne les sites d'hôtels faux ou trompeurs. Better Business Bureau, une organisation américaine de protection des consommateurs et de suivi de la crédibilité commerciale, avertit que les voyageurs se retrouvent souvent sur une page qui ressemble au site officiel d'un hôtel ou d'une agence de réservation connue. On arrive fréquemment à ces sites par des moteurs de recherche, des annonces ou des liens qui apparaissent en haut des résultats de recherche. Les photos peuvent être professionnelles, les prix convaincants et la procédure de réservation suffisamment familière pour que l'utilisateur ne soupçonne pas qu'il se trouve au mauvais endroit.
Selon les exemples cités par Better Business Bureau, les victimes peuvent découvrir après avoir saisi les données de leur carte qu'un montant supérieur à celui affiché leur a été facturé, que des frais non clairement mis en évidence ont été ajoutés ou que l'hôtel n'a aucune trace de leur réservation. Dans certains cas, l'utilisateur pense réserver directement une chambre auprès de l'hôtel, alors qu'il s'agit en réalité d'un tiers qui n'est pas clairement présenté ou d'un site totalement faux. Un tel modèle est particulièrement dangereux parce qu'il ne repose pas toujours sur une fraude évidente : l'utilisateur peut recevoir une confirmation, mais celle-ci peut ne pas être valable auprès du véritable hôtel ou peut contenir des conditions nettement moins favorables que prévu.
L'intelligence artificielle complique encore la reconnaissance des fausses annonces. AARP avertit que les outils d'IA aident les criminels à cloner des sites de voyage légitimes, à créer des adresses et des designs convaincants et à produire du contenu qui ne révèle plus les signes typiques d'une fraude. Les photos d'hébergement peuvent être générées par ordinateur, les descriptions professionnelles et les faux avis écrits dans un style qui ressemble à de véritables expériences de voyageurs.
L'approche la plus sûre, selon les recommandations de la FTC et de Better Business Bureau, consiste à vérifier l'adresse du site, comparer le nom de domaine avec les canaux officiels de l'hôtel, ne pas se précipiter pour payer et, si possible, contacter directement l'hôtel avant le paiement. Si l'hébergement se trouve dans un resort ou un complexe, la FTC recommande d'appeler la réception et de confirmer l'emplacement, les conditions de réservation et l'existence de l'établissement. Une prudence particulière est nécessaire lorsqu'un site demande un mode de paiement inhabituel, lorsque les conditions d'annulation ne peuvent pas être obtenues par écrit ou lorsque l'utilisateur est pressé par des messages indiquant que l'offre n'est valable que quelques minutes encore.
Le vol de réservation utilise les données réelles des voyageurs
Une forme plus récente de fraude, de plus en plus mentionnée dans les alertes de sécurité, est ce que l'on appelle le “détournement de réservation”. Dans ce scénario, l'escroc n'envoie pas un message général à des milliers de personnes, mais s'adresse à une personne qui a réellement une réservation d'hôtel, d'appartement, de location de voiture ou de vol. Le message peut contenir le nom, les dates de voyage, le lieu, le numéro de réservation ou d'autres données donnant l'impression qu'il provient du véritable prestataire de service. C'est précisément cette combinaison d'informations exactes et d'une demande urgente de paiement qui rend l'escroquerie convaincante.
En mai 2026, WIRED a décrit le fonctionnement de telles escroqueries : les criminels utilisent des données de réservation auxquelles ils peuvent accéder par des comptes compromis, des incidents de sécurité, les réseaux sociaux ou d'autres sources, puis contactent le voyageur en affirmant qu'il existe un problème de paiement, de confirmation de carte ou de maintien de la réservation. L'objectif est d'amener la personne à verser de l'argent sur le compte de l'escroc ou à saisir les données de sa carte sur un faux site. Les messages introduisent souvent un élément d'urgence, par exemple l'affirmation que la réservation sera annulée si le paiement n'est pas effectué immédiatement.
Une inquiétude supplémentaire a été provoquée par un incident de sécurité que Booking.com a confirmé en avril 2026. Selon un rapport du Guardian, la plateforme a informé une partie des utilisateurs que des tiers non autorisés avaient accédé à certaines données de réservation. L'entreprise a indiqué que les données financières n'étaient pas accessibles, mais que les informations potentiellement exposées pouvaient comprendre les détails de réservation, les noms, les adresses e-mail, les adresses physiques, les numéros de téléphone et les messages échangés avec l'hébergement. Booking.com, selon le même rapport, a modifié les codes PIN des réservations concernées et informé les clients.
De telles données ne permettent pas nécessairement à elles seules un vol direct d'argent, mais elles augmentent considérablement la crédibilité des tentatives de fraude ultérieures. Si un message contient la date d'arrivée exacte et le nom de l'établissement, l'utilisateur peut plus facilement croire qu'il s'agit d'un véritable problème avec la réservation. Booking.com, selon les indications de WIRED, a souligné qu'il ne demande pas aux utilisateurs leurs données de carte de crédit par téléphone, e-mail ou SMS et qu'il ne demande pas de paiement par virement bancaire différent des conditions indiquées dans la réservation. C'est pourquoi il est essentiel que chaque message suspect soit vérifié exclusivement via l'application officielle, le compte utilisateur ou les coordonnées publiées sur les sites officiels.
Les attaques contre les hôtels ouvrent la voie aux escroqueries visant les clients
Les escroqueries liées aux voyages ne ciblent pas seulement les utilisateurs finaux. Microsoft Threat Intelligence a annoncé qu'elle suivait depuis décembre 2024 une campagne de phishing se faisant faussement passer pour Booking.com et visant les employés de l'hôtellerie et de la restauration. Selon Microsoft, la campagne visait des personnes dans des organisations qui travaillent probablement avec la plateforme de réservation, et elle a été observée dans plusieurs régions, dont l'Europe, l'Amérique du Nord, l'Océanie et certaines parties de l'Asie. L'attaque utilisait une technique d'ingénierie sociale connue sous le nom de ClickFix, dans laquelle une fausse erreur ou une instruction de “réparation” du problème est présentée à l'utilisateur.
Ce type d'attaque est important pour les voyageurs, car un compte compromis d'hôtel ou de loueur peut servir de tremplin à des messages plus convaincants adressés aux clients. Lorsqu'un escroc accède à un véritable canal de communication ou à des données de réservation, le message ne ressemble plus à un spam typique. Le client peut le recevoir dans le contexte d'une réservation existante, avec des détails qu'une personne inconnue ne devrait normalement pas connaître. C'est pourquoi la sécurité des plateformes de voyage ne dépend pas seulement de la prudence des utilisateurs, mais aussi de la protection des comptes des hôtels, appartements, agences et autres partenaires.
Pour les voyageurs, cela signifie que même un message apparaissant dans un contexte de communication connu n'est pas automatiquement sûr s'il demande un paiement inhabituel, une autorisation supplémentaire ou un passage à un canal externe. Si le prétendu hôtel envoie un lien en dehors de la plateforme, demande un versement sur un compte privé ou affirme que la carte doit être “confirmée à nouveau” sur une nouvelle page, il s'agit d'un signal clair pour effectuer une vérification supplémentaire. L'utilisateur devrait ouvrir lui-même l'application ou le site officiel, sans cliquer sur le lien contenu dans le message, et y vérifier s'il existe une alerte.
Les escroqueries aux billets d'avion exploitent le désir d'un prix plus bas
Les escroqueries aux billets d'avion reposent souvent sur la même psychologie que les fausses annonces d'hôtels : une offre limitée, un prix très bas et une pression pour prendre une décision immédiatement. La FTC avertit que les offres de voyage peuvent apparaître par des annonces, appels, messages ou e-mails, et que les escrocs peuvent promettre des services gratuits ou fortement réduits. Dans le contexte des vols, cela peut signifier de fausses agences, des billets inexistants, des bons suspects, des “réductions spéciales” ou des demandes d'envoyer le paiement par un moyen inhabituel pour une vente légale de billets.
Les offres de vols charter et de forfaits peuvent être particulièrement risquées lorsque l'utilisateur ne sait pas clairement qui est l'organisateur, qui émet le billet et quelles règles s'appliquent en cas d'annulation. La FTC conseille de vérifier avant le paiement les conditions, les politiques d'annulation et de remboursement et, pour les vols charter publics, de vérifier s'ils sont répertoriés auprès du département américain des Transports compétent. Bien que cette recommandation se rapporte au cadre réglementaire américain, la règle générale vaut partout dans le monde : le voyageur doit savoir avant de payer avec qui il conclut un contrat, qui répond du service et s'il existe un canal officiel de réclamation.
Les criminels ciblent souvent les moments où les prix des vols sont élevés et la demande forte. Dans de telles circonstances, les utilisateurs réagissent plus facilement à la promesse de “dernières places” ou d'un “prix exclusif” valable peu de temps. Si l'on demande à l'utilisateur de payer le billet en cryptomonnaie, par carte cadeau, par virement bancaire vers un compte privé ou par application de transfert d'argent instantané, le risque est nettement plus élevé. La FTC avertit explicitement que de telles demandes sont un signe typique de fraude, car l'argent, après le paiement, ne peut souvent ni être suivi ni récupéré.
Pour une vérification supplémentaire, il est utile de comparer le prix avec plusieurs sources connues, de vérifier si l'agence est enregistrée et de rechercher le nom de l'entreprise avec des termes tels que “scam”, “review” ou “complaint”. S'il s'agit d'un site qui prétend vendre des billets pour une compagnie aérienne connue, il faut vérifier si la réservation peut être trouvée directement sur le site du transporteur à l'aide du numéro officiel de réservation. Une fausse confirmation par e-mail ne suffit pas ; le vrai billet doit être visible dans le système du transporteur ou auprès d'un intermédiaire vérifié.
L'IA change l'apparence des escroqueries, mais pas les signes d'alerte de base
L'intelligence artificielle permet aux escrocs de créer rapidement des textes, images, annonces et sites qui paraissent plus professionnels qu'auparavant. Cela ne signifie pas qu'il est impossible de reconnaître chaque escroquerie, mais cela signifie que les anciens signaux, comme les fautes de grammaire et le mauvais design, ne suffisent plus. AARP indique que les outils d'IA aident les criminels à cloner des sites de voyage légitimes, tandis que le rapport de Microsoft montre comment des campagnes de phishing sophistiquées peuvent être adaptées au contexte professionnel et aux employés ciblés. Les escrocs peuvent aujourd'hui combiner automatisation, données volées et contenu convaincant dans une attaque qui semble personnalisée.
Les signes d'alerte de base restent toutefois les mêmes. Le premier est la pression pour prendre une décision urgente. Si un message affirme que la réservation sera annulée dans quelques minutes, qu'il faut confirmer immédiatement la carte ou que le paiement doit être effectué avant l'expiration d'un court délai, il faut s'arrêter. Le deuxième signe est une demande de paiement en dehors de la plateforme officielle. Le troisième est un changement du canal de communication habituel, par exemple le passage de l'application de réservation à un numéro WhatsApp privé, une adresse e-mail inconnue ou un lien qui n'appartient pas au domaine officiel.
Le quatrième signe est une documentation peu claire ou inaccessible. La FTC conseille de ne rien signer et de ne rien payer tant que l'utilisateur n'a pas reçu les conditions de l'offre, les règles d'annulation et de remboursement. Si le vendeur évite toute trace écrite, refuse d'envoyer un contrat ou ne peut pas expliquer les frais supplémentaires, il vaut mieux renoncer. Le cinquième signe est un prix inhabituellement bas. Les réductions existent dans le tourisme, mais une offre nettement moins chère que toutes les options comparables doit être considérée comme un signal nécessitant une vérification supplémentaire, surtout si elle apparaît seulement sur un site inconnu.
Comment se protéger avant de payer une réservation
La protection contre les escroqueries liées aux voyages commence avant la saisie des données de carte. L'utilisateur devrait saisir lui-même l'adresse d'un site connu dans le navigateur ou ouvrir l'application officielle, au lieu de cliquer sur une annonce ou un lien dans un message. Pour les réservations d'hôtel, il est utile de vérifier le domaine, le nom de l'entreprise qui traite le paiement, les conditions d'annulation et le prix final avant confirmation. Pour les hébergements privés, il faut vérifier s'il existe une adresse, si les photos correspondent à d'autres sources et si l'établissement peut être confirmé par le canal officiel de la plateforme.
Pour les billets d'avion, il faut vérifier qui émet le billet, si la réservation peut être vue dans le système de la compagnie aérienne et si les conditions relatives aux bagages, aux modifications de vol et au remboursement sont clairement indiquées. Si l'intermédiaire affirme que le billet existe, mais ne peut pas fournir un numéro de réservation valable vérifiable auprès du transporteur, il faut interrompre le paiement. Une prudence particulière est nécessaire avec les annonces sur les réseaux sociaux et les sites qui ne disposent pas de données claires sur l'entreprise, d'une adresse, d'un service client et de règles de remboursement.
Après la réservation, le plus important est de ne pas réagir impulsivement aux messages ultérieurs concernant des problèmes de paiement. Si une affirmation apparaît selon laquelle la réservation est menacée, l'utilisateur devrait ouvrir lui-même le compte officiel et vérifier le statut de la réservation. Pour les comptes sur les plateformes de réservation, un mot de passe fort et unique est recommandé, ainsi que l'activation de l'authentification à deux facteurs lorsqu'elle est disponible.
En cas de soupçon qu'une fraude a déjà été commise, il faut immédiatement contacter la banque ou l'émetteur de la carte, tenter de bloquer la transaction et changer les mots de passe si des données ont été saisies sur un site suspect. Il est utile de signaler la fraude à la plateforme, aux organismes locaux de protection des consommateurs et aux services compétents de lutte contre la cybercriminalité. Bien qu'un remboursement ne soit pas toujours possible, une réaction rapide peut limiter les dommages, empêcher des transactions supplémentaires et aider à supprimer les faux sites ou annonces avant qu'ils ne trompent d'autres utilisateurs.
Sources :
- Federal Trade Commission – conseils pour reconnaître et éviter les escroqueries liées aux voyages (link)
- Federal Trade Commission – données sur les pertes déclarées dues à la fraude en 2024 (link)
- Better Business Bureau – avertissement sur les faux sites d'hôtels et les escroqueries à la réservation (link)
- Microsoft Security Blog – analyse d'une campagne de phishing se faisant passer pour Booking.com (link)
- The Guardian – rapport sur l'incident de sécurité et les données exposées des utilisateurs de Booking.com en avril 2026 (link)
- WIRED – explication des escroqueries par détournement de réservation et recommandations pour une communication plus sûre (link)
- AARP – aperçu des signes d'alerte les plus courants dans les escroqueries liées aux voyages et du rôle des outils d'IA (link)