Booking.com : fuite de données de réservation
Booking.com a confirmé le 13 avril 2026 un accès non autorisé aux données de réservation de clients, dont des voyageurs européens, déjà exploitées pour des arnaques.
- Organisation
- Booking.com
- Secteur
- Retail / e-commerce
- Pays
- Pays-Bas
- Date des faits
- Détectée début avril 2026, confirmée le 13 avril 2026
- Ampleur
- Nombre non communiqué par Booking.com (« un certain nombre de réservations »)
- Vecteur
- inconnu (non communiqué par Booking.com)
- Données exposées
- Nom, Adresse e-mail, Numéro de téléphone, Adresse postale, Détails de réservation (hôtel, dates, numéro de confirmation), Messages échangés avec l'hébergement via la plateforme
Le 13 avril 2026, Booking.com a confirmé qu’un ou plusieurs tiers non autorisés avaient pu accéder à des informations de réservation de ses clients. Selon la plateforme et plusieurs médias spécialisés (TechCrunch, BleepingComputer, Help Net Security), les données concernées incluent les noms, adresses e-mail, numéros de téléphone, adresses postales, détails de réservation (nom de l’hôtel, dates, numéro de confirmation) ainsi que les messages échangés avec les hébergements via la plateforme. Booking.com indique que les informations financières (cartes bancaires) n’ont pas été compromises. Par mesure de précaution, l’entreprise a réinitialisé les codes PIN des réservations et notifié individuellement les clients touchés.
Les voyageurs européens sont concernés : Booking.com a son siège à Amsterdam et son autorité de contrôle chef de file est l’autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens). La campagne malveillante associée à cet incident a, selon les chercheurs, visé le secteur hôtelier dans plusieurs régions dont l’Europe, ce qui inclut de fait des clients français et européens. À ce stade, aucune communication publique de la CNIL spécifique à cet incident n’a été identifiée.
D’après Microsoft et plusieurs analystes, la fuite serait liée au groupe criminel suivi sous le nom de Storm-1865, qui compromettrait les comptes de partenaires hôteliers via des techniques de hameçonnage de type « ClickFix » (fausses pages CAPTCHA) déployant des logiciels malveillants comme XWorm et VenomRAT. Cette attribution reste une analyse d’éditeurs de sécurité et non une confirmation officielle de Booking.com ; elle doit donc être considérée comme une allégation. Un autre acteur (« Vect ») aurait revendiqué l’incident selon Hackmanac, revendication non vérifiée.
Les données dérobées sont déjà exploitées pour des arnaques ciblées par phishing et smishing (e-mail, SMS, WhatsApp) : les escrocs reprennent les détails réels des réservations pour usurper l’identité des hôtels et obtenir des paiements ou des coordonnées bancaires. Booking.com n’a pas communiqué le nombre de personnes touchées, évoquant seulement « un certain nombre de réservations ». La sévérité est jugée élevée en raison de la nature des données (contexte de voyage précis) et de l’exploitation immédiate et active à des fins de fraude.
Sources
- Booking.com confirms hackers accessed customers' data · TechCrunch
- New Booking.com data breach forces reservation PIN resets · BleepingComputer
- Booking.com data breach: Customer reservation data exposed · Help Net Security
- Booking.com breach gives scammers what they need to target guests · Malwarebytes