Trois vagues de phishing hôtelier reviennent chaque été sur la Côte d'Azur, calibrées sur les faiblesses saisonnières : personnel saisonnier peu formé, sur-sollicitation, retards de traitement. Vague 1 : faux Booking / Expedia avec pièce jointe piégée pour prise de contrôle du canal OTA. Vague 2 : faux fournisseurs (blanchisserie, produits d'entretien, denrées) avec demande de changement de RIB. Vague 3 : fake candidatures avec CV piégés, calibrées sur le rush recrutement saisonnier. Cet article détaille chaque pattern, les indicateurs pratiques et les parades applicables cette semaine.
Pourquoi l'été est un pic pour l'hôtellerie PACA
La Côte d'Azur concentre en juillet-août une saturation opérationnelle qui n'existe nulle part ailleurs en France : plus de 8 millions de nuitées touristiques sur la seule zone Cannes-Nice-Monaco, un personnel doublé voire triplé avec beaucoup de saisonniers pas encore formés aux procédures internes, un volume de factures fournisseurs qui explose, et un rythme d'arbitrages managériaux qui ne laisse aucune place à la vérification. C'est un terrain d'attaque idéal, et les campagnes de phishing le savent.
Les vagues qui suivent ne sont pas hypothétiques. Elles reviennent chaque année, avec des variations mineures. Les groupes qui les opèrent sont professionnels : ils préparent leurs listes en juin, envoient massivement entre le 5 juillet et le 20 août, puis disparaissent début septembre. Trois d'entre eux, largement dominants sur PACA, méritent une décortique séparée.
Vague 1 : le faux Booking (ou Expedia, Airbnb, HotelBeds)
C'est la vague la plus visible et la plus dangereuse. Le mail arrive au réceptionniste ou au responsable réservations. Sujet type : « Confirmation urgente : réservation en attente – penalty potentielle ». Corps du mail : imite parfaitement la charte graphique Booking, mentionne un numéro de réservation crédible, réclame une action rapide dans les 24 heures pour éviter une pénalité.
Le lien pointe vers un faux portail Booking Extranet, hébergé sur un domaine du type booking-extranet-support.com ou booking-partners.center. L'attaquant a soigné la copie visuelle : couleurs, logo, position des champs. Le formulaire capture l'identifiant Booking, le mot de passe, et souvent le code MFA en temps réel via un proxy inverse.
L'impact. Une fois l'accès Booking Extranet compromis, l'attaquant a la main sur trois leviers dévastateurs. Un : modifier les coordonnées bancaires du versement mensuel Booking, redirigeant les commissions vers son propre IBAN pendant plusieurs semaines avant détection. Deux : envoyer des messages frauduleux aux clients confirmés via la messagerie interne Booking, en prétendant que l'hôtel demande un pré-paiement par virement direct. Trois : accéder aux données personnelles de tous les clients ayant réservé (nom, adresse, IBAN pour ceux qui ont payé par prélèvement, éventuellement CVV pour les cartes stockées).
Signaux pratiques. Toute demande urgente venant de Booking par mail est suspecte : Booking utilise très majoritairement sa messagerie interne Extranet, pas des mails externes. Le domaine expéditeur doit être exactement @booking.com ou @bookings-mail.com. Tout ce qui ressemble mais est différent (booking-partners, booking-support, booking-extranet-com, etc.) est faux à 100%. En cas de doute, ouvrez directement l'Extranet Booking depuis un onglet neuf sans jamais cliquer sur le lien du mail.
Parades. Activer MFA obligatoire sur les comptes Extranet Booking et Expedia (paramétrage compte au niveau administrateur). Restreindre les identifiants OTA à deux personnes maximum, en compte nominatif jamais partagé. Former réceptionnistes et saisonniers en début de saison sur le pattern exact : « aucune action urgente demandée par mail sur les OTA ne doit être exécutée sans passer par l'Extranet officiel ».
Vague 2 : le faux fournisseur avec changement de RIB
Cette vague cible spécifiquement le service comptable ou la direction. Le mode opératoire est bien plus lent et discret que la vague 1. L'attaquant identifie d'abord les fournisseurs habituels de l'hôtel (via LinkedIn, site vitrine du fournisseur, mails précédemment interceptés lors d'une compromission antérieure côté fournisseur). Puis il envoie un mail sobre, sans fioritures, signé « Service comptabilité » ou « Département facturation », expliquant que le fournisseur change de banque et demandant la mise à jour des coordonnées bancaires pour les prochains règlements.
Le mail est plausible parce qu'il vient effectivement d'un nom d'expéditeur cohérent (souvent un domaine typo-squatté blanchisserie-azur-sarl.com au lieu de blanchisserie-azur.fr), avec un ton professionnel, sans faute majeure. En pleine saison, le comptable a rarement le temps de vérifier chaque changement de RIB. Il met à jour, valide, paye la facture suivante sur le nouveau compte, et se retrouve avec 12 000 à 45 000 € perdus dans le mois qui suit.
L'impact. C'est le FOVI classique (Faux Ordre de Virement International), adapté à l'hôtellerie. Les montants ne sont pas énormes par mois, mais s'accumulent pendant toute la saison. La détection intervient typiquement quand le vrai fournisseur relance sur ses impayés, plusieurs semaines plus tard. À ce stade, l'argent est parti sur un compte off-shore et la récupération est impossible dans plus de 90 % des cas.
Signaux pratiques. Toute demande de changement de coordonnées bancaires par mail seul est suspecte, quelle que soit sa légitimité apparente. Les vrais fournisseurs qui changent de banque envoient une confirmation par courrier papier avec en-tête, ou appellent au téléphone leur contact habituel. Un mail seul, même bien tourné, ne suffit jamais. Vérifier aussi le domaine expéditeur au caractère près : les typosquats sont subtils (blanchisserie-azur-sarl.com au lieu de -azur.fr).
Parades. Procédure interne écrite et affichée en salle comptabilité : tout changement de RIB fournisseur nécessite un appel téléphonique de confirmation au numéro habituel du fournisseur. Pas le numéro dans le mail, le numéro déjà enregistré dans le carnet d'adresse ou sur une facture précédente. Cette procédure prend 3 minutes par changement et coupe la classe entière de l'attaque. Alternativement, valider tout changement de RIB en double signature : le comptable prépare, la direction valide après appel.
Vague 3 : la fausse candidature avec CV piégé
La troisième vague exploite le rush de recrutement saisonnier. Chaque hôtel de la Côte d'Azur publie entre mai et juillet des dizaines d'offres pour réceptionnistes, femmes de chambre, cuisiniers, serveurs, animateurs. Les recruteurs internes ou en RH reçoivent des dizaines de CV par jour, ouvrent rapidement, trient sans grande prudence.
L'attaquant automatise l'envoi. Il scrape les offres publiées sur Hosco, Indeed, Pôle Emploi, LinkedIn, avec géolocalisation Côte d'Azur, et envoie à chaque adresse RH ou email de contact un CV en réponse. Le CV est un fichier Word avec macro malveillante (téléchargement d'un infostealer au moment de l'ouverture), ou un PDF avec un lien vers un « portfolio » qui héberge en réalité un exploit browser ou un formulaire de vol d'identifiants.
L'impact. Une fois le poste de recrutement compromis, l'attaquant récupère typiquement les identifiants Microsoft 365 du compte RH, ce qui lui donne accès à la boîte mail interne, aux plannings personnel, à la base de données candidats et souvent au SIRH complet. À partir de là, plusieurs scénarios possibles : mouvement latéral vers les comptes de direction, envoi de mails frauduleux depuis la boîte RH légitime vers d'autres services de l'hôtel, ou revente d'accès à des groupes ransomware qui attendront début septembre pour déclencher le chiffrement au moment où l'hôtel entre en basse saison et paye plus volontiers.
Signaux pratiques. Un CV Word avec macros activées à l'ouverture est toujours suspect. Un CV avec un lien externe vers un portfolio hébergé sur un domaine récent (.click, .top, .xyz) est presque toujours du phishing. Un candidat qui postule sur une offre mais n'a strictement aucun profil LinkedIn correspondant (photo, historique, formation) est suspect. Un candidat dont l'adresse mail ne correspond pas à son nom ([email protected] pour Marie Dupont) est suspect.
Parades. Ouvrir tous les CV dans une application qui désactive les macros par défaut (Word 2019+ le fait automatiquement si Group Policy correcte, mais vérifier). Idéalement, avoir un poste dédié RH avec Microsoft Defender for Business ou EDR équivalent qui sandbox les documents entrants. Filtre anti-phishing sur la boîte mail RH avec sandboxing des pièces jointes (Microsoft Defender for Office 365, Vade, Altospam ou équivalent). Formation express du personnel RH en 15 minutes en début de saison sur les 3 signaux ci-dessus.
Le plan d'action pour la saison qui commence
Vous êtes probablement au milieu de la saison en lisant cet article. Ce qui suit sont les actions concrètes, hiérarchisées par ratio bénéfice / temps :
À faire cette semaine, en moins de 3 heures cumulées :
- MFA obligatoire sur tous les comptes OTA (Booking, Expedia, HotelBeds, Airbnb pro). 15 minutes par plateforme. À faire par le directeur ou responsable réservations.
- Procédure changement RIB écrite et affichée en comptabilité. Une feuille A4 : « avant tout changement de RIB fournisseur, appel au numéro habituel du fournisseur ». 5 minutes de rédaction, 5 minutes de briefing.
- Configuration Word et Outlook du poste RH pour désactiver les macros par défaut et bloquer les pièces jointes exécutables. 30 minutes avec votre prestataire IT ou en autonomie via les paramètres Trust Center Office.
- Sensibilisation express 20 minutes auprès des saisonniers en début de contrat, sur les trois patterns. Ce n'est pas parfait, mais ça vaut mieux que rien.
À planifier pour la fin de saison :
- Filtre anti-phishing sérieux au niveau messagerie. Si vous êtes sur Microsoft 365, passer à Business Premium avec Defender for Office 365 Plan 1. Coût environ 6 € HT par utilisateur et par mois. Si vous êtes sur OVH ou Google standard, prendre un filtre tiers.
- Simulation phishing une fois par an sur toutes les équipes, y compris saisonniers. Coût 600 à 1500 € HT selon la taille de l'établissement. Permet de mesurer et calibrer la formation.
- Audit annuel des accès OTA et fournisseurs pour supprimer les comptes de personnel parti, faire tourner les mots de passe des comptes critiques, valider que MFA est bien actif partout.
Que faire si vous êtes touché maintenant
Vous lisez cet article parce que vous avez un doute sur un mail reçu, ou parce qu'un membre de l'équipe a déjà cliqué. Trois actions immédiates dans l'ordre.
Un. Changer immédiatement le mot de passe du compte concerné (OTA, boîte mail, comptabilité). Sur Booking et Expedia, passer aussi par « Déconnecter toutes les sessions actives » dans les paramètres de sécurité pour couper tout attaquant déjà connecté.
Deux. Vérifier les modifications récentes sur les comptes concernés : nouveaux transferts bancaires paramétrés, nouvelles adresses email dans les paramètres, règles de transfert Outlook créées, RIB fournisseur modifiés dans la comptabilité. Chaque modification suspecte doit être annulée manuellement.
Trois. Notifier votre banque et déposer plainte si un virement a été détourné. La CNIL doit être notifiée sous 72 heures si des données personnelles de clients ont fuité (article 33 RGPD). Le vrai fournisseur doit être prévenu si son identité a été usurpée.
Pour un incident en cours plus sérieux (compromission OTA avec exfiltration de données clients, virement frauduleux non récupérable, ransomware actif), notre offre Réponse à incident intervient en urgence sur PACA et à distance partout en France.
En résumé
Les trois vagues de phishing hôtelier de l'été 2026 sont désormais bien identifiées et prévisibles. Faux Booking, faux fournisseurs, fake candidatures : trois vecteurs différents, trois cibles internes différentes, un même timing calibré sur votre pic d'activité. La bonne nouvelle : les parades sont simples et peu coûteuses, à condition de les mettre en place avant que la vague vous atteigne. La mauvaise : chaque semaine sans MFA sur OTA, sans procédure RIB, sans filtre anti-phishing correct sur le poste RH, c'est un pari sur le fait que la vague passera à côté. Elle finit par arriver.
Si vous voulez être accompagné sur la mise en place de ce plan pour votre établissement, HackHeart intervient à la journée ou en pack "saison protégée" pour les hôtels 3 à 5 étoiles de la Côte d'Azur. Devis en 24 heures, référence sur demande.
Audit express OTA + RIB + poste RH, sensibilisation saisonnière 45 min, simulation phishing calibrée pour l'hôtellerie, rapport et checklist. Adapté aux hôtels 3 à 5 étoiles de 20 à 150 chambres. À partir de 1 800 € HT.