Les faux hôtels, l'usurpation d'identité de compagnies aériennes et les arnaques à l'IA représentent un risque croissant pour les voyageurs
Les arnaques en ligne liées aux voyages sont devenues beaucoup plus convaincantes qu'il y a quelques années. Les faux sites d'hôtels, les profils qui se présentent comme le service client officiel de compagnies aériennes, les appartements inexistants et les annonces créées à l'aide de l'intelligence artificielle ciblent de plus en plus souvent les personnes qui réservent un hébergement, des vols ou des forfaits touristiques. Selon les avertissements de la Federal Trade Commission américaine, les escrocs créent des sites qui annoncent des voyages prétendument gratuits ou exceptionnellement bon marché, envoient des messages qui semblent provenir d'hôtels et de transporteurs connus, et demandent des données personnelles ou un paiement en dehors de canaux sécurisés. Ces messages s'appuient souvent sur l'urgence : la réservation doit prétendument être confirmée immédiatement, la carte doit être saisie à nouveau ou l'hébergement sera annulé. C'est précisément cette combinaison d'une marque connue, de la pression du temps et d'un design réalisé de manière professionnelle qui rend les nouvelles arnaques touristiques particulièrement dangereuses.
Les arnaques ne reposent plus seulement sur des erreurs évidentes
Jusqu'à récemment, de nombreuses arnaques en ligne pouvaient être reconnues à une langue médiocre, à des photographies peu convaincantes ou à des adresses de sites inhabituelles. Aujourd'hui, ce seuil est beaucoup plus élevé. Selon une analyse de Help Net Security, les escrocs utilisent des outils génératifs pour créer des images photoréalistes d'hébergements qui n'existent pas, des descriptions qui paraissent professionnelles et des avis rédigés de manière à imiter de véritables impressions de clients. Ces annonces peuvent apparaître sur les réseaux sociaux, sur de fausses copies de plateformes connues ou, dans certains cas, comme du contenu malveillant qui tente de s'intégrer dans un environnement internet légitime. Pour cette raison, il ne suffit plus de se fier uniquement à l'impression qu'une page paraît soignée ou que le texte ne contient pas de fautes d'orthographe. La vérification du domaine officiel, des données sur l'établissement et du mode de paiement est devenue une partie indispensable de toute réservation en ligne sérieuse.
Les faux sites d'hôtels imitent des marques connues
L'un des schémas les plus fréquents est la création de pages qui ressemblent à un système officiel de confirmation de réservation hôtelière. Selon un rapport de Cyber Security News, une grande campagne de phishing découverte en 2025 utilisait plus de 4300 faux domaines visant les voyageurs qui planifient des vacances ou se préparent à arriver dans un hôtel. Dans de tels messages, la victime reçoit souvent un avertissement indiquant qu'elle doit confirmer la réservation dans un délai de 24 heures afin d'éviter l'annulation. Après le clic, l'utilisateur est redirigé à travers plusieurs pages, et la page finale demande le numéro de carte, la date d'expiration, le CVV et d'autres données nécessaires au débit du compte. Les chercheurs ont indiqué que les fausses pages imitaient de grandes marques de voyage et des systèmes hôteliers, avec des logos, des formulaires et un design volontairement créés pour paraître crédibles.
Le danger est particulièrement grand lorsque les escrocs disposent d'une partie des données réelles de la réservation. Le message peut alors contenir la date exacte d'arrivée, le nom de l'hôtel ou le nom du client, ce qui réduit la vigilance du destinataire. Cette forme d'arnaque est souvent décrite comme une prise de contrôle ou un abus de réservation, car les criminels n'ont pas toujours besoin d'inventer tout le voyage ; il leur suffit d'exploiter des données existantes afin de demander un paiement supplémentaire, une nouvelle saisie de la carte ou une communication par un canal non officiel. Si un hôtel ou une plateforme a réellement besoin d'une mise à jour des données, la procédure sûre consiste à ouvrir soi-même le site officiel ou l'application, sans cliquer sur le lien contenu dans le message. Toute demande de virement bancaire, de cryptomonnaie, de carte-cadeau ou d'envoi des données de carte par chat doit être traitée comme un signal d'alerte sérieux.
Les compagnies aériennes et le service client sont devenus une cible fréquente d'usurpation
Les arnaques ne concernent pas seulement les hôtels et les appartements. Les faux profils de service client de compagnies aériennes sur les réseaux sociaux exploitent les situations dans lesquelles les passagers sont stressés à cause de retards, d'un changement de vol, de bagages perdus ou du besoin d'une réponse rapide. Selon les avertissements publiés ces derniers mois par des compagnies aériennes et des sources de sécurité, les escrocs répondent souvent aux publications publiques de voyageurs, utilisent le logo de la vraie compagnie, puis tentent de déplacer la conversation vers des messages privés. Là, ils demandent le numéro de réservation, des données personnelles, une copie de document ou le paiement de prétendus frais de modification de vol. Un passager qui est déjà en difficulté peut, à cause de la précipitation, ne pas remarquer que le profil ne possède pas de marque officielle, que le nom d'utilisateur est inhabituel ou qu'il est dirigé vers un numéro de téléphone et une page qui ne figurent pas sur le site officiel de la compagnie.
La Federal Trade Commission avertit qu'il ne faut pas cliquer dans les messages qui ressemblent à une offre de compagnie aérienne ou d'hôtel sans vérifier l'adresse réelle. La recommandation est d'ouvrir la page officielle en saisissant manuellement l'adresse ou via une application déjà installée, et non par un lien provenant d'un e-mail, d'un SMS ou d'une publication inattendue sur un réseau social. Il en va de même pour les appels qui proviennent prétendument d'un agent ou d'un service d'assistance, surtout s'ils sont accompagnés d'une demande de poursuivre la communication via une application inconnue. Les entreprises fiables ne demandent généralement pas de données sensibles de carte dans des messages non chiffrés et ne conditionnent pas le maintien de la réservation à un paiement par des canaux impossibles à suivre. Si un message semble convaincant mais inhabituel, il est plus sûr d'interrompre la communication et de contacter soi-même le centre de contact officiel.
L'intelligence artificielle a facilité la création de faux appartements et de faux avis
L'intelligence artificielle générative a changé l'apparence des arnaques touristiques, car elle permet la création rapide de photographies, de descriptions et d'avis d'utilisateurs qui ne paraissent plus amateurs. Selon Help Net Security, les escrocs peuvent créer en peu de temps une série d'images d'un hébergement luxueux qui n'existe pas en réalité, puis ajouter une description détaillée de l'emplacement, des équipements supposés et une série de commentaires élogieux. À première vue, une telle annonce peut sembler plus convaincante qu'une vraie, surtout si les photographies sont parfaitement éclairées, les intérieurs harmonieux et le prix suffisamment avantageux pour susciter une décision rapide. C'est un problème pour les voyageurs, mais aussi pour les plateformes légitimes, car la confiance dans les réservations numériques est ébranlée lorsque l'utilisateur ne peut pas facilement distinguer un établissement réel d'une image générée. Un risque supplémentaire apparaît lorsque la fausse annonce est promue par de la publicité payante ou via des profils qui disposent déjà d'une partie du public.
Des signes de prudence existent toutefois. Si l'hébergement n'a que quelques avis, si tous sont rédigés dans un style similaire, s'il n'y a pas de détails concrets sur les environs ou si les mêmes photographies ne peuvent pas être reliées à une adresse réelle, la réservation doit être vérifiée davantage. Il est utile de rechercher l'établissement sur les cartes, de vérifier s'il existe des photographies de vue de rue, de comparer la description avec d'autres plateformes et d'appeler le contact officiel s'il existe. Si le loueur insiste pour que le paiement soit effectué en dehors de la plateforme, par exemple par virement bancaire ou par une application d'envoi direct d'argent, le risque augmente considérablement. Selon la FTC, les demandes de paiement par virements bancaires, cartes-cadeaux ou cryptomonnaies dans les offres touristiques constituent un signe typique d'arnaque.
Les dommages pour les voyageurs et l'industrie touristique
Les dommages financiers causés par les arnaques en ligne dépassent les cas individuels d'acomptes perdus. Selon les données de la FTC pour 2024, les consommateurs américains ont déclaré plus de 12,5 milliards de dollars de pertes liées aux fraudes, soit 25 pour cent de plus que l'année précédente. Dans des avertissements et analyses séparés sur les arnaques touristiques, il est indiqué que les voyages, les vacances et les modèles de multipropriété font partie des catégories qui génèrent des pertes importantes pour les consommateurs. L'Internet Crime Complaint Center du FBI a annoncé qu'en 2024 il avait reçu 859.532 signalements de délits internet suspects et que les pertes déclarées avaient dépassé 16,6 milliards de dollars. Bien que ces données concernent un spectre plus large de criminalité en ligne, elles montrent l'ampleur de l'environnement dans lequel agissent aussi les escrocs touristiques.
Pour le secteur touristique, les conséquences ne sont pas seulement les pertes directes des utilisateurs. Les faux sites et l'usurpation d'identité de marques compromettent la confiance dans les hôtels, les compagnies aériennes, les agences et les plateformes de réservation. Si de l'argent est débité de la carte d'un client via une fausse page qui ressemble à la page d'un hôtel connu, le problème de réputation peut aussi toucher le véritable hôtel, même s'il n'a pas participé à l'arnaque. Les spécialistes de la sécurité touristique, parmi lesquels le Dr Peter E. Tarlow, avertissent depuis des années que la sécurité est l'un des fondements d'un tourisme durable, et son livre ainsi que ses travaux professionnels relient le domaine de la sécurité touristique à la gestion des risques, à l'hôtellerie, au transport et aux situations de crise. Dans l'environnement numérique, cette sécurité ne concerne plus seulement la protection physique des clients, mais aussi la protection des données, des canaux de communication et du processus de réservation.
Comment les voyageurs peuvent réduire le risque avant la réservation
La règle la plus importante est de vérifier l'offre avant de payer, surtout lorsque le prix s'écarte fortement du marché. La FTC recommande de rechercher le nom du site ou de l'agence avec des termes tels qu'arnaque, avis ou plainte, car cela permet de trouver des avertissements antérieurs d'autres utilisateurs. L'adresse du site web doit être vérifiée caractère par caractère, car les escrocs utilisent souvent des domaines qui ne diffèrent des domaines officiels que par une lettre ajoutée, un tiret, un chiffre ou une terminaison inhabituelle. Pour les réservations hôtelières, il est utile de comparer les données avec plusieurs sources : le site officiel de l'hôtel, une plateforme de réservation connue et des services cartographiques. Pour les hébergements privés, il faut être prudent avec les annonces qui n'ont pas d'historique d'avis, qui proposent du luxe à un prix irréaliste ou qui demandent une communication en dehors du système sur lequel l'annonce a été publiée.
Le mode de paiement est souvent l'indicateur le plus clair du risque. Le paiement par carte via une plateforme connue et protégée offre généralement davantage de possibilités de contester une transaction que le transfert d'argent à une personne inconnue. La FTC avertit explicitement que les offres touristiques qui exigent des virements bancaires, des cartes-cadeaux ou des cryptomonnaies doivent être considérées comme suspectes. Le FBI, dans des avertissements plus larges sur les cyberarnaques, conseille également d'éviter l'envoi d'argent ou d'actifs numériques à des personnes inconnues et de signaler les cas suspects. En pratique, cela signifie que la réservation ne devrait pas être finalisée si le vendeur refuse les modes de paiement standard, s'il met l'acheteur sous pression avec des délais urgents ou s'il affirme qu'un prix spécial ne peut être obtenu qu'en dehors de la plateforme officielle. Un délai raisonnable de quelques minutes suffit souvent à vérifier la source du message et à éviter une perte plus importante.
Que faire si la réservation est suspecte
Si le message est déjà arrivé et qu'il semble provenir d'un hôtel, d'une agence ou d'une compagnie aérienne, il ne faut pas répondre par le même canal avant vérification. La procédure la plus sûre consiste à ouvrir l'application ou le site web officiel et à vérifier l'état de la réservation directement dans le compte utilisateur. Si aucun problème n'apparaît dans le compte, le message doit être traité comme un possible phishing. Si le paiement a déjà été effectué, il faut contacter au plus vite la banque ou l'émetteur de la carte, demander le blocage de la carte si les données ont été saisies sur une page suspecte et lancer la procédure de contestation de la transaction. Il faut conserver les messages, confirmations, adresses de pages, numéros de comptes et toute la communication, car ces données peuvent aider la plateforme, la banque ou la police dans le traitement ultérieur.
L'arnaque doit aussi être signalée à la plateforme sur laquelle se trouvait l'annonce, au véritable hôtel ou à la compagnie aérienne dont l'identité a été utilisée abusivement, ainsi qu'aux autorités compétentes pour le signalement de la cybercriminalité ou la protection des consommateurs. La FTC oriente les consommateurs aux États-Unis vers ReportFraud.ftc.gov, tandis que le FBI utilise IC3.gov pour les arnaques en ligne. Dans d'autres pays, le signalement est déposé auprès de la police compétente, du centre national de cybersécurité ou de l'institution de protection des consommateurs. Un signalement rapide est important, car les faux domaines et profils sont souvent fermés puis réapparaissent sous d'autres noms. Plus il y a de données disponibles, plus il est possible d'avertir d'autres utilisateurs et de limiter les dommages.
La sécurité touristique devient aussi une question de culture numérique
La hausse des arnaques ne signifie pas que les réservations en ligne sont dangereuses en elles-mêmes, mais qu'elles doivent être utilisées avec plus de vérification qu'auparavant. Les vrais hôtels, compagnies aériennes et plateformes investissent dans des systèmes de sécurité, mais les attaquants exploitent les moments où le voyageur se trouve en dehors de sa routine habituelle : il se dépêche pour prendre un vol, cherche la dernière chambre disponible ou craint de perdre des vacances déjà payées. C'est pourquoi les demandes les plus dangereuses sont celles qui combinent l'urgence, une marque connue et une action financière. Selon les avertissements de sécurité disponibles, les escrocs utiliseront de plus en plus l'intelligence artificielle pour supprimer les signes d'arnaque auparavant faciles à repérer, de la mauvaise grammaire aux images peu convaincantes. La défense se réduit donc de plus en plus à une règle simple mais constante : ne pas croire un message seulement parce qu'il paraît professionnel, mais vérifier la source, le canal et le mode de paiement avant de saisir des données ou d'envoyer de l'argent.
Sources :
- Federal Trade Commission – conseils pour reconnaître les faux sites touristiques, les messages de phishing et les modes de paiement suspects (lien)
- Federal Trade Commission – guide général pour éviter les arnaques lors des voyages et des réservations (lien)
- Federal Trade Commission – données du Consumer Sentinel Network sur les pertes déclarées dues aux fraudes en 2024 (lien)
- FBI Internet Crime Complaint Center – rapport sur la criminalité en ligne pour 2024 et pertes déclarées (lien)
- Cyber Security News – analyse d'une campagne de phishing avec plus de 4300 faux domaines imitant des marques touristiques (lien)
- Help Net Security – aperçu des photographies générées par l'IA, des fausses annonces et des avis dans les arnaques touristiques (lien)
- ScienceDirect / Elsevier – description du livre Tourism Security de Peter E. Tarlow et du domaine de la sécurité touristique (lien)