Andreas Habegger* et sa copine ont un rituel spécial pour commencer l'année. À chaque Nouvel An, le couple de trentenaires passe la nuit du 1er au 2 janvier dans un hôtel de qualité, quelque part en Suisse. Et ils se font plaisir: détente, bien-être et repas gastronomiques sont au programme. Pour passer le cap en 2025, ils devraient se rendre au Seehotel Waldstätterhof à Brunnen, dans le canton de Schwytz. Les amoureux ont jeté leur dévolu sur une chambre double dans un établissement 4 étoiles avec balcon et vue sur le lac. Facture: 480 francs.
Andreas Habegger a bouclé sa réservation il y a des mois, mais lundi, il a reçu un e-mail surprenant. «Cher Monsieur Habegger, votre réservation va malheureusement être annulée en raison d'une erreur lors de la vérification de votre mode de paiement», peut-on lire dans le courriel que Blick a pu consulter.
À lire aussi sur les cyber-escroqueries
Viennent ensuite la demande de saisir les données de paiement et l'instruction d'attendre une vérification. Le tout via un lien placé bien en vue. Un avertissement pressant conclut la missive: «Si vous souhaitez garantir votre réservation, vous devez le faire dans les 24 heures, sans quoi elle sera automatiquement annulée.»
«Je n'ai eu aucun soupçon»
Andreas Habegger n'y voit que du feu, mais évite par chance l'escroquerie. «J'étais stressé, c'est la seule raison pour laquelle je n'ai pas réagi, reconnaît-il. Heureusement! Sinon, j'aurais cliqué sur le lien. Le mail est tellement bien fait. Je n'ai eu aucun soupçon.» Et ce, bien qu'il soit tout à fait sensibilisé aux dangers des e-mails de phishing (hameçonnage). Ces faux courriels imitent un destinataire connu pour obtenir vos données de paiement et vous soutirer de l'argent.
Les cybercriminels font preuve d'une grande habileté. La formule de politesse personnalisée semblait digne de confiance, relève Andreas Habegger. La photo professionnelle de l'hôtel dans l'en-tête du courriel aussi. Le fait que le message émane du réceptionniste, avec son nom et sa photo en fin de courriel, et l'adresse officielle de l'hôtel, a achevé de berner la clientèle.
En plus de cela, les escrocs prennent soin d'indiquer qu'il s'agit uniquement d'une «vérification du mode de paiement». Et non d'un nouveau paiement ou d'un acompte. «Vous payez directement lorsque vous arrivez à l'hôtel», précise le message. «C'est particulièrement perfide», dénonce Andreas Habegger.
L'hôtel a immédiatement réagi
Le Seehotel Waldstätterhof a rapidement réagi lorsque sa clientèle lui a signalé l'attaque. L'établissement a immédiatement écrit à toutes les personnes concernées. «Des e-mails ont été envoyés aujourd'hui en notre nom, mais n'émanent pas de nous», avertit la direction. Elle met en garde les victimes de l'arnaque: «Nous vous prions d'ignorer ces e-mails et de n'ouvrir aucune indication ou lien. Nous travaillons intensément pour résoudre ce problème en collaboration avec notre service informatique.»
Les e-mails n'auraient pas affecté le système de réservation. «Votre réservation reste bien entendu valable. Veuillez nous excuser pour les désagréments occasionnés.» Dans la précipitation, l'hôtel a cependant commis une erreur: chaque client a pu consulter la liste de tous les destinataires du courriel d'avertissement. On peut ainsi constater que plusieurs centaines de personnes, en Suisse comme à l'étranger, ont été victimes de l'attaque. L'établissement situé au bord du lac des Quatre-Cantons a également mentionné l'attaque des pirates sur son site Internet.
Un ancien programme a permis l'attaque
Deux jours plus tard, l'hôtel a à nouveau informé les personnes concernées, mais a refusé de répondre aux questions de Blick. L'origine de la cyberattaque serait à chercher du côté d'un fournisseur de logiciels externe – via un ancien programme. «Il y a quelques années, ce logiciel nous a permis de donner à nos clients la possibilité de personnaliser leur séjour et de nous communiquer ainsi leurs souhaits avant leur arrivée. Aujourd'hui, nous avons été victimes, et vous aussi, d'un e-mail de phishing à la suite d'une cyberattaque contre ce programme», indique le directeur de l'hôtel dans le courriel envoyé à la clientèle.
Il ajoute: «Le pirate n'a pas eu accès aux données de notre serveur ni à celles du fournisseur de logiciels. L'escroc a pu pirater l'ancien programme, le réactiver et ainsi déterminer vos adresses e-mail et votre futur séjour.» Selon le directeur, aucune autre donnée sensible, comme les données de carte de crédit ou les préférences personnelles, n'était stockée dans le programme piraté.
L'hôtel recommande aux clients qui ont malencontreusement fourni des informations sur leur carte de crédit via le lien de phishing d'en informer leur banque et de faire bloquer leur carte. «Les mesures les plus complètes ont déjà été prises en collaboration avec nos partenaires pour qu'un tel cas ne puisse pas se reproduire.»
*Nom modifié