Semaine 9: Les hôtels et leur clientèle, des cibles de choix pour les cybercriminels

Service navigation

Recherche

Navigation

Semaine 9: Les hôtels et leur clientèle, des cibles de choix pour les cybercriminels

04.03.2025 - Dans ses rétrospectives hebdomadaires, l’Office fédéral de la cybersécurité (OFCS) a déjà évoqué à plusieurs reprises les cyberattaques ciblant les hôtels et leur clientèle. Il a encore reçu plusieurs signalements issus de clientes et clients d’hôtels ces derniers jours. La cause est souvent la même : les hôtels ont été victimes de cyberattaques et les criminels ont ainsi eu accès aux données saisies lors de la réservation.

La conclusion qui ressort des signalements reçus par l’OFCS au sujet de courriels d’hameçonnage envoyés à des clients d’hôtels est que les hôtels concernés ont été victimes de cyberattaques. Les criminels ont ainsi eu accès à des données sensibles saisies lors de la réservation, ce qui constitue un risque considérable pour les hôtels et leurs clients. Dans les courriels et SMS envoyés aux clients, les cybercriminels allèguent généralement qu’un problème est survenu lors de la réservation et qu’il est nécessaire de s’identifier à nouveau et de saisir les données de la carte bancaire. Dans d’autres cas, les clients des hôtels ont été priés de verser 2000 francs via un IBAN étranger et d’envoyer la confirmation de paiement sur le prétendu portail de réservation de l’hôtel comme preuve. Cette semaine, notre rétrospective vous explique les schémas d’attaque, aussi bien du point de vue de l’hôtel et que de celui des clients.

L’attaque du point de vue de l’hôtel

Pour inciter le personnel d'un hôtel à installer un logiciel malveillant, les pirates se font passer pour des clients et simulent différentes situations. Dans un cas, le prétendu client a par exemple affirmé qu'il y avait eu des problèmes pendant son séjour à l'hôtel qui n'avaient pas encore été résolus et que les détails à ce sujet sont disponibles sur la plateforme de réservation booking.com. Dans un autre cas, les cybercriminels ont affirmé qu'un paiement avait bien été effectué pour la chambre d'hôtel, mais qu'il avait ensuite été supprimé et que le personnel de l'hôtel devait absolument aider à résoudre l'incident. Là encore, un (faux) lien vers le portail de réservation est indiqué. Lors de l’ouverture du lien, ce n'est toutefois pas booking.com qui s'ouvre, mais un autre site créé par les pirates.

Courriel envoyé par un prétendu client à un hôtel. Le pirate souhaite inciter le personnel à cliquer sur le lien.
Courriel envoyé par un prétendu client à un hôtel. Le pirate souhaite inciter le personnel à cliquer sur le lien.

La page ne s'ouvre pas immédiatement après avoir cliqué sur le lien. Un CAPTCHA apparaît d'abord pour prouver que l’on est un être humain et non un robot. Aujourd’hui, ce procédé est très répandu pour protéger les sites web et ne paraît donc pas incongru. En général, il s’agit d’effectuer un calcul ou de reconnaître des objets sur une image. Cependant, dans le cas présent, l’utilisateur est invité à appuyer sur la touche Windows et sur R, puis à appuyer simultanément sur Control et V, et enfin sur Entrée pour confirmer.

Faux CAPTCHA pour soi-disant prouver que l’on est un être humain. Au lieu de ça, la combinaison de touches lance l’installation d’un logiciel malveillant sur l’ordinateur.
Faux CAPTCHA pour soi-disant prouver que l’on est un être humain. Au lieu de ça, la combinaison de touches lance l’installation d’un logiciel malveillant sur l’ordinateur.

Si l’on suit ces instructions, l’ordinateur sera très probablement infecté par un logiciel malveillant. Nous avons déjà observé cette procédure dans le cas de Lumma Stealer et l’avons décrite dans une précédente rétrospective. Lors du chargement de la page, un code malveillant est enregistré dans la mémoire tampon, et en effectuant la combinaison de touches demandée, l’utilisateur lance l’installation du logiciel malveillant sur l’appareil. S’il s’agit d’un ordinateur ayant accès au système de réservation de l’hôtel, le cybercriminel a désormais accès à toutes les données nécessaires pour nuire aux clients.

L’attaque du point de vue de la clientèle

Ces dernières semaines, l’OFCS a observé différentes méthodes d’hameçonnage visant les clients d’hôtels, de qualité variable. L’une de ces méthodes consistait en l’envoi d’un simple SMS, adressé correctement et contenant un lien, prétendant qu’il s’agissait d’une information importante de la part de l’hôtel. Si la victime clique sur le lien, une page ressemblant au portail de réservation d’un hôtel s’ouvre, où l’on demande de saisir les données de la carte bancaire.

SMS frauduleux, adressé à la bonne personne, et invitant le client de l’hôtel à cliquer sur le lien.
SMS frauduleux, adressé à la bonne personne, et invitant le client de l’hôtel à cliquer sur le lien.

Dans une autre méthode d’hameçonnage, la victime a reçu un courriel de l’hôtel contenant un lien vers une imitation très réussie du portail de réservation de booking.com. Pour valider la réservation, il était demandé de verser 2000 francs via un IBAN et d’envoyer la confirmation de paiement sur le portail. Points suspects : ce mode de paiement est inhabituel, et l’IBAN indiqué n’est pas celui d’un compte suisse. Les pirates mettent par ailleurs la victime sous pression en exigeant le paiement dans les 48 heures, sans quoi la réservation est annulée. Il s’agit d’une ruse très fréquente pour empêcher la victime de prendre le temps de se poser des questions.

Confirmation de réservation ressemblant à celles envoyées par booking.com. Pour terminer la réservation, il est demandé de verser le montant via l’IBAN indiqué et d’envoyer la confirmation de paiement sur le portail.
Confirmation de réservation ressemblant à celles envoyées par booking.com. Pour terminer la réservation, il est demandé de verser le montant via l’IBAN indiqué et d’envoyer la confirmation de paiement sur le portail.

Mesures pour le personnel hôtelier

  • Le personnel hôtelier doit souvent ouvrir une multitude de documents envoyés par les clients. Il ne faut toutefois en aucun cas ouvrir de fichiers exécutables.
  • Faites preuve de prudence lors de l’installation de programmes et ne téléchargez que des programmes provenant de sources sûres.
  • Faites attention si vous rencontrez des CAPTCHAs inhabituels.
  • Si vous pensez que votre ordinateur a été infecté, déconnectez-le immédiatement du réseau et changez vos mots-de-passe pour tous les sites utilisés à partir d’un autre ordinateur non concerné. Adressez-vous à un spécialiste de l’informatique.
  • Sauvegardez régulièrement vos données pour faciliter leur restauration.
  • Maintenez les systèmes à jour.
  • Pensez à mettre en place une stratégie dans laquelle l’ordinateur servant à la communication avec la clientèle est séparée du reste du réseau.

Mesures pour la clientèle

  • En général, il ne faut jamais saisir un mot-de-passe ou des données de carte bancaire sur un site web ouvert via un lien reçu dans un courriel ou un SMS.
  • Aucune banque, ni établissement de carte de crédit, ni hôtel, ne vous demandera par courriel ou par téléphone de modifier vos mots de passe ou de fournir vos données de carte de crédit.
  • Informez sans délai l’hôtel ou la plateforme de réservation si vous recevez un courriel d’hameçonnage.
  • Soyez sur vos gardes lorsque vous recevez des courriels vous demandant de faire quelque chose, par exemple de cliquer sur un lien ou d’ouvrir une pièce jointe.
  • Rappelez-vous qu’il est très facile de falsifier l’expéditeur d’un courriel ou d’un SMS.
  • Dès lors que c’est possible, utilisez une authentification à deux facteurs. Cela procure un niveau de protection supplémentaire pour éviter que vos comptes ne soient piratés.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 04.03.2025

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2025/wochenrueckblick_9.html