Vous réservez un voyage en ligne, puis un WhatsApp tombe, pressant et “officiel”. C’est le scénario d’un incident visant des clients de Voyage Privé, avec un lien vers un domaine fraîchement créé.
Un incident de sécurité vise l’univers du tourisme en France : après une réservation sur le site de Voyage Privé, un client lecteur de ZATAZ dit avoir reçu un message WhatsApp provenant du Brésil, demandant de confirmer la réservation et d’effectuer une « empreinte » de carte bancaire via un lien. Le domaine utilisé, confirmation-id987(.)com, a été enregistré le 12 février 2026, quelques minutes avant sa mise à jour, et repose sur une infrastructure DNS chez Cloudflare. L’utilisateur a contacté Travel Voyage, qui affirme être déjà au courant et indique que l’origine du problème viendrait de Voyage Privé.
Un hameçonnage calibré sur le moment du paiement
L’attaque racontée suit une mécanique connue en cybercriminalité [Je vous ai crée une explication visuelle et gaming], mais son efficacité tient à un détail : le timing. Le message arrive “suite à une réservation”, quand l’utilisateur est encore dans la séquence mentale de confirmation, d’options, parfois de paiement. Le canal choisi, WhatsApp, renforce la pression, car il donne l’illusion d’un échange direct et immédiat, là où un e-mail pourrait paraître plus suspect.
Dans le cas signalé, le message provenait d’un numéro ou d’un compte présenté comme basé au Brésil. Le contenu invitait à confirmer la réservation et à réaliser une « empreinte » de carte, formulation typique des tentatives de collecte de données bancaires sous un prétexte administratif. Le point critique n’est pas seulement le texte, mais le lien. L’utilisateur décrit un domaine “plus que douteux”, et fournit un extrait WHOIS qui montre un enregistrement extrêmement récent.
Le domaine utilisé, confirmation-id987(.)com, a été créé le 12 février 2026 (fermé depuis).
Ce que raconte la réponse des acteurs contactés
Face au doute, l’utilisateur a fait un choix utile : contacter une agence, Travel Voyage, pour vérifier si la demande de confirmation venait d’un intermédiaire. D’après son retour, l’agence « était déjà informée » de l’incident et lui aurait indiqué que l’origine se situerait chez Voyage Privé et non chez elle. Cette précision, même rapportée au conditionnel par l’utilisateur, est un indicateur important côté renseignement opérationnel : cela suggère que l’incident n’est pas isolé et qu’il circule déjà dans les échanges de support, donc potentiellement chez plusieurs victimes.
Du côté de Voyage Privé, le récit décrit une communication incomplète et fragmentée. L’utilisateur indique ne pas avoir obtenu de réponse via le chat du service client. En revanche, un message spécifique est diffusé par serveur vocal sur la ligne téléphonique dédiée [Ecouter], reconnaissant l’existence de l’incident. Le contraste est frappant : un message audio, donc accessible à ceux qui appellent, mais pas de communication proactive « vers leurs clients directement » selon le témoin.
Dans une attaque de ce type, la question centrale pour les lecteurs n’est pas seulement « qui est responsable« , mais « où la chaîne a-t-elle été touchée« . Un message WhatsApp reçu après une réservation peut renvoyer à plusieurs hypothèses, sans qu’on puisse trancher avec les seuls éléments fournis : fuite d’informations sur des réservations, usurpation basée sur des données collectées ailleurs, ou ciblage opportuniste jouant sur la marque. En revanche, les faits exploitables sont clairs : un domaine créé le 12 février 2026, un lien envoyé sur WhatsApp, et une tentative de collecte de carte via un prétexte de confirmation.
Dans l’immédiat, la défense la plus fiable reste celle rappelée par l’utilisateur : prudence au moment du paiement, et vérification stricte de l’URL avant toute confirmation, surtout si la demande arrive par messagerie plutôt que dans l’espace client.
Dans le tourisme, l’attaquant gagne quand l’urgence émotionnelle remplace le réflexe de contrôle, et c’est là que la cyber-vigilance devient un geste de renseignement personnel.
