Comment l’opération “I Paid Twice” transforme les hôtels en bras armé d’une fraude mondiale
THE CYBER THREAT SERIES
Depuis le printemps 2025, une campagne d’attaques informatiques frappe les hôtels du monde entier avec une efficacité qui a trompé des milliers de voyageurs. Cette opération, baptisée “I Paid Twice” par les équipes de Sekoia.io, s’appuie sur l’idée simple d’infecter d’abord les établissements hôteliers, pour exploiter l’accès à leurs comptes Booking.com afin de piéger les clients avec des messages d’une crédibilité presque parfaite.
La première brèche : un email piégé, envoyé depuis un compte légitime
L’attaque débute par un courriel adressé non pas aux voyageurs, mais aux services de réservation ou aux adresses administratives des hôtels. Les messages proviennent de comptes professionnels compromis, parfois appartenant à d’autres entreprises, et imitent l’identité visuelle de Booking.com avec réalisme. Les objets sont conçus pour attirer l’attention d’un réceptionniste pressé : « New last-minute booking », « New guest message » ou « Tracking code ». Rien n’indique qu’il s’agit d’un message piégé et les hôtels concernés reçoivent parfois plusieurs courriels similaires en quelques jours, comme si l’activité de réservation s’intensifiait.
Le lien contenu dans le message n’ouvre pas immédiatement une page malveillante mais passe d’abord par une infrastructure complexe de redirections. Des centaines de noms de domaine, tous construits sur le même modèle, renvoient l’utilisateur vers des pages intermédiaires en HTTP contenant seulement une balise meta-refresh, avant de le basculer vers l’URL finale. Cette architecture est typique d’un TDS, un système de distribution de trafic conçu pour absorber les blocages, dissimuler les serveurs réels et survivre aux tentatives de démantèlement.
Le piège ClickFix : une commande PowerShell qui compromet tout le système
Au terme de ces redirections, l’hôtelier atterrit sur une page qui reproduit l’interface de l’extranet Booking, avec le branding officiel, des éléments d’URL susceptibles d’inspirer confiance et un faux reCAPTCHA intitulé ClickFix. La manipulation consiste à convaincre l’utilisateur de copier une commande PowerShell dans son terminal pour “débloquer l’accès” ou “vérifier son identité”. L’opération ne dure que quelques secondes, mais elle suffit pour compromettre entièrement la machine.
L’exploitation : des messages envoyés aux clients, enrichis de données réelles
Une fois le poste compromis et l’accès extranet capturé, l’attaque entre dans sa deuxième phase. Les cybercriminels se connectent au compte Booking.com de l’hôtel et récupèrent les données de réservation : identités, dates de séjour, montants, photos de l’établissement, échanges antérieurs. Ces informations authentiques leur permettent de contacter les clients et d’initier un échange crédible, soit directement depuis la messagerie Booking, soit via WhatsApp.
Les victimes reçoivent alors un message indiquant un prétendu problème de vérification bancaire et les invitant à confirmer leurs informations pour éviter l’annulation de leur réservation. Le lien fourni mène à une page qui imite parfaitement Booking.com ou Expedia, jusqu’à la typographie. Ces pages, hébergées derrière Cloudflare et masquées par un ASN russe opéré comme un bulletproof hosting, récoltent les coordonnées bancaires saisies par les voyageurs. Sekoia.io confirme que plusieurs clients ont effectivement payé deux fois leur séjour : une fois auprès de l’hôtel, et une seconde fois auprès du cybercriminel.
Un écosystème criminel structuré autour des accès Booking
Depuis 2022, les forums russophones regorgent de ventes et d’achats de logs Booking, provenant de machines infectées par des infostealers. Les prix varient de quelques centimes à plusieurs milliers de dollars selon la qualité des identifiants, le nombre d’établissements administrés et le potentiel de fraude associé. Certains acteurs se consacrent exclusivement à l’achat et à la revente de ces logs, comme le groupe opéré sous le pseudonyme moderator_booking, qui revendique plus de 20 millions de dollars de revenus sur ce modèle.
D’autres cybercriminels se spécialisent dans la collecte d’emails d’administrateurs d’hôtels, en scrappant des milliers de sites du secteur ou en proposant des bases triées par pays ou catégorie d’établissement. Enfin, des équipes de “traffers” prennent en charge la distribution du malware, en acheminant du trafic depuis Twitter, Facebook ou Google vers les pages malveillantes en échange d’une part des gains.
L’ensemble constitue un marché parfaitement organisé, où chaque étape de la fraude (infection, revente, validation, exploitation, phishing) peut être traitée par des acteurs spécialisés.
Une menace durable pour le secteur hôtelier
La campagne “I Paid Twice” démontre que les hôtels se retrouvent exposés non pas en raison d’une vulnérabilité technique propre à Booking.com, mais parce qu’ils constituent un point d’entrée plus accessible pour les cybercriminels. Leur exposition s’explique par la faiblesse des protections sur les postes de réception, l’absence de segmentation réseau, le manque de formation des équipes et la très forte dépendance aux extranets de réservation. Ces compromissions se traduisent ensuite par des pertes financières directes, des demandes de remboursement, des tensions avec la clientèle, des risques juridiques et une atteinte durable à la réputation.
Un modèle reproductible et une alerte majeure pour l’industrie
Cette fraude, fondée sur la compromission des prestataires et l’exploitation de données authentiques, dépasse largement le seul secteur de l’hôtellerie. Elle pourrait être étendue à tous les domaines dont les chaînes de valeur reposent sur des extranets, des portails de gestion ou des interfaces partenaires peu protégées. Les agences de voyage, les locations saisonnières, les compagnies de transport, mais aussi la logistique, la santé, l’immobilier ou le retail.
Dans un environnement où ces opérations se perfectionnent, seule une combinaison rigoureuse de formation du personnel, de sécurisation des accès et de maîtrise des outils numériques permettra de contenir durablement ce type d’attaque.
- Comment l’opération “I Paid Twice” transforme les hôtels en bras armé d’une fraude mondiale - 02/12/2025
- Connaissez-vous MONQ, la startup qui veut automatiser les négociations stratégiques des grandes entreprises ? - 02/12/2025
- L’Europe peut-elle créer son champion de l’IA visuelle ? L’effet Black Forest Labs - 01/12/2025
