“I Paid Twice” : une fraude structurée exploitant les processus de remboursement des hôtels
Depuis le printemps 2025, une campagne d’attaques informatiques cible les hôtels à l’échelle mondiale avec une efficacité qui a trompé des milliers de voyageurs. Baptisée “I Paid Twice” par les équipes de Sekoia.io, l’opération repose sur un principe simple : compromettre d’abord les établissements hôteliers afin d’exploiter leur accès aux plateformes de réservation, au premier rang desquelles Booking.com, puis s’adresser aux clients à partir de données parfaitement authentiques.
Une première brèche côté hôtel, via un email crédible
L’attaque ne vise pas directement les voyageurs. Elle débute par l’envoi de courriels aux services de réservation ou aux adresses administratives des hôtels. Ces messages proviennent de comptes professionnels légitimes préalablement compromis et reproduisent fidèlement l’identité visuelle de Booking.com. Les objets( « New last-minute booking », « New guest message », « Tracking code ») sont conçus pour attirer l’attention d’un personnel soumis à un flux constant de demandes.
Rien ne permet, à première vue, de distinguer ces messages d’une notification authentique. Dans certains cas, plusieurs emails similaires sont reçus sur une courte période, simulant une hausse normale de l’activité de réservation.
Une infrastructure de redirection conçue pour durer
Le lien contenu dans le message ne conduit pas immédiatement vers une page malveillante. Il déclenche une chaîne de redirections reposant sur des centaines de noms de domaine construits selon un même schéma. Ces domaines pointent vers des pages intermédiaires en HTTP ne contenant qu’une balise meta-refresh, avant de rediriger l’utilisateur vers la destination finale.
Cette architecture correspond à un Traffic Distribution System (TDS), conçu pour absorber les blocages, masquer les serveurs effectifs et résister aux tentatives de neutralisation. Elle permet à l’opération de se maintenir malgré les signalements et les suppressions de domaines.
ClickFix : une compromission en quelques secondes
À l’issue de cette chaîne, l’utilisateur arrive sur une page imitant l’extranet Booking. Le branding, la structure et certains éléments d’URL sont reproduits avec précision. Un faux reCAPTCHA, baptisé ClickFix, invite alors l’hôtelier à copier-coller une commande PowerShell dans son terminal afin de « débloquer l’accès » ou « vérifier son identité ».
Cette manipulation, présentée comme anodine, suffit à compromettre entièrement le poste de travail. En quelques secondes, l’attaquant obtient un accès persistant à la machine et, par extension, aux comptes professionnels utilisés depuis ce terminal.
Exploitation des accès et contact direct avec les clients
Une fois l’accès à l’extranet de réservation récupéré, l’attaque entre dans sa phase la plus lucrative. Les cybercriminels extraient les données de réservation : identité des clients, dates de séjour, montants payés, photos de l’établissement, historique des échanges.
Ces informations réelles leur permettent de contacter les voyageurs dans un cadre parfaitement crédible, soit via la messagerie intégrée de Booking.com, soit par des canaux alternatifs comme WhatsApp. Les messages évoquent un prétendu problème de vérification bancaire et invitent les clients à confirmer leurs informations sous peine d’annulation.
Les liens fournis redirigent vers des pages imitant à l’identique Booking.com ou Expedia, jusqu’aux détails typographiques. Hébergées derrière Cloudflare et dissimulées via des infrastructures de type bulletproof hosting opérées depuis la Russie, ces pages collectent les coordonnées bancaires saisies. Selon Sekoia.io, plusieurs victimes ont effectivement payé leur séjour deux fois : une première fois à l’hôtel, une seconde fois au cybercriminel.
Un marché criminel structuré autour des accès hôteliers
Cette campagne s’inscrit dans un écosystème criminel bien établi. Depuis 2022, les forums russophones spécialisés proposent à la vente des logs Booking issus de machines compromises par des infostealers. Les prix varient de quelques centimes à plusieurs milliers de dollars selon la qualité des accès, le nombre d’établissements administrés et le potentiel de fraude.
Certains acteurs se consacrent exclusivement à l’achat et à la revente de ces identifiants. D’autres se spécialisent dans la collecte d’emails d’administrateurs d’hôtels, via le scraping massif de sites du secteur ou la constitution de bases de données segmentées par pays ou catégorie d’établissement. Des équipes de traffers assurent enfin la diffusion du malware, en redirigeant du trafic depuis les réseaux sociaux ou les moteurs de recherche contre une part des gains.
Chaque étape — infection, revente, validation des accès, exploitation, phishing — peut ainsi être externalisée à des acteurs spécialisés.
Une exposition structurelle du secteur hôtelier
L’opération “I Paid Twice” ne repose pas sur une faille technique propre à Booking.com. Elle exploite un point d’entrée plus accessible : les hôtels eux-mêmes. Postes de réception peu sécurisés, absence de segmentation réseau, dépendance critique aux extranets de réservation, formation inégale des équipes : autant de facteurs qui rendent ces établissements vulnérables.
Les conséquences dépassent largement la fraude ponctuelle. Pertes financières, demandes de remboursement, tensions avec la clientèle, risques juridiques et atteinte durable à la réputation constituent désormais un risque opérationnel à part entière pour le secteur.
Un modèle transposable bien au-delà de l’hôtellerie
En s’appuyant sur la compromission de prestataires et l’exploitation de données authentiques, cette fraude dépasse le seul cadre de l’hôtellerie. Le même schéma pourrait être étendu à tout secteur reposant sur des extranets partenaires : agences de voyage, locations saisonnières, transport, logistique, santé, immobilier ou retail.
Face à des opérations de plus en plus industrialisées, seule une combinaison rigoureuse de formation du personnel, de sécurisation des accès et de maîtrise des outils numériques permettra de contenir durablement ce type de menace.
