En bref

  • Booking.com confirme un accès non autorisé aux données de réservation de ses clients, incluant noms, emails, numéros de téléphone et détails de séjour.
  • Les données volées alimentent déjà des campagnes de phishing ciblées via WhatsApp et email.
  • Réinitialisation des codes PIN de réservation imposée par Booking.com — vigilance maximale recommandée pour tous les utilisateurs.

Les faits

Booking.com a confirmé le 13 avril 2026 qu'un accès non autorisé avait permis à des tiers de consulter les informations personnelles associées à certaines réservations sur la plateforme. L'incident a été notifié aux clients concernés par email, et la plateforme a procédé à la réinitialisation forcée des codes PIN de toutes les réservations existantes et passées. Selon plusieurs sources, l'intrusion aurait compromis des noms complets, adresses email, numéros de téléphone et détails de réservation — dates de séjour, établissements, montants.

Booking.com affirme que les informations financières (cartes bancaires, données de paiement) n'ont pas été compromises. La plateforme n'a cependant pas communiqué sur le nombre exact de clients affectés, les régions concernées, ni la fenêtre temporelle pendant laquelle l'accès non autorisé a été actif. Cette opacité est critiquée par plusieurs experts en protection des données, qui rappellent les obligations de transparence imposées par le RGPD.

Impact et exposition

Les données dérobées constituent un terreau idéal pour des attaques de phishing ultra-ciblées. Des campagnes sont déjà signalées : des messages WhatsApp et emails imitant Booking.com demandent aux victimes de « confirmer » leur réservation via un lien frauduleux, en citant des détails réels de séjour pour crédibiliser l'arnaque. Ce type d'attaque par ingénierie sociale est particulièrement efficace car la victime reconnaît ses propres informations de réservation dans le message.

Tous les utilisateurs ayant une réservation active ou récente sur Booking.com sont potentiellement exposés. Les voyageurs d'affaires et les entreprises utilisant Booking.com for Business doivent être particulièrement vigilants, car les informations de déplacement peuvent servir à des attaques ciblées de type spear-phishing ou compromission d'email professionnel (BEC).

Recommandations

  • Ne jamais cliquer sur un lien reçu par email ou WhatsApp prétendant provenir de Booking.com — accéder directement au site via le navigateur.
  • Changer immédiatement le mot de passe de votre compte Booking.com et activer l'authentification à deux facteurs si disponible.
  • Surveiller vos comptes email et bancaires pour détecter toute activité suspecte dans les semaines à venir.
  • Sensibiliser vos collaborateurs si votre entreprise utilise Booking.com pour les déplacements professionnels — alerter spécifiquement sur les messages citant des détails de réservation réels.

Cet incident rappelle la fuite de données Basic-Fit qui avait exposé un million de membres européens. Les données personnelles volées servent systématiquement à alimenter des campagnes de phishing comme celles de la plateforme VENOM. La fuite LexisNexis avait montré comment des profils exposés pouvaient être exploités pendant des mois après l'incident initial. Face à la rapidité croissante des attaques, la réponse à incident en moins de 24 heures n'est plus un luxe mais une nécessité.

Comment savoir si mon compte Booking.com est concerné par cette fuite ?

Booking.com a indiqué contacter directement par email les utilisateurs dont les données ont été compromises. Vérifiez votre boîte de réception (y compris les spams) pour un message officiel de Booking.com. En cas de doute, connectez-vous directement sur booking.com (sans passer par un lien reçu) et consultez les notifications de votre compte. Si vous avez une réservation active, changez votre mot de passe par précaution.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit