« Il y en a des tonnes. J’ai vu plein de façons possibles. Cette année, il y a vraiment une recrudescence », se désole Alupa Clarke, le directeur général de l’Association hôtelière de la région de Québec (AHRQ).

Les gestionnaires d’hôtels et leurs employés passent des heures chaque semaine à vérifier les fraudes et contacter les clients pour éviter qu’ils tombent dans le filet d’un courriel frauduleux.

« Ça leur nuit beaucoup. Les hôteliers manquent déjà de main-d’œuvre. Ils perdent des réservations, se retrouvent avec des chambres libres à la dernière minute, alors qu’ils les croyaient réservées depuis un mois. C’est du travail en double et ça amène une dose de stress et d’anxiété. Ils n’ont pas besoin de ça », ajoute M. Clarke.

Le problème est récurent depuis déjà quelques années, mais cet été, c’est « pire que pire ». Ça concerne presque toujours la carte de crédit et les sites de réservations qui sont accessibles dans tous les pays du monde.

Ces sites de réservations sont d’ailleurs toujours prêts à nier toute responsabilité, soutient M. Clarke. L’imputabilité revient à l’hôtelier, explique-t-il.

« Les sites comme Booking s’en lave les mains, carrément. Ils ne veulent pas gérer ça. C’est toujours l’hôtelier qui doit avertir ses clients et revoir son système », précise le directeur général de l’AHRQ.

L’AHRQ ne peut pas faire grand-chose. Des signalements à la police sont faits de temps à autre, mais les coupables se trouvent bien souvent à l’autre bout du monde. Alupa Clarke rassemble les différentes mésaventures de ses membres malchanceux pour avertir tout le monde et sensibiliser au mieux tous les employés.

« On peut juste faire de la sensibilisation. Plus on en parle, plus les hôteliers seront vigilants. »

—  Alupa Clarke, directeur général de l’Association hôtelière de la région de Québec (AHRQ)

Surprises

Carte de crédit volée ou fausse, c’est du déjà-vu. Aujourd’hui, les affaires vont beaucoup plus loin.

Certains escrocs achètent bel et bien un séjour avec une carte des plus légales, en profitent le moment venu puis repartent à la maison. Quelques jours plus tard, ils contestent la dépense à leur compagnie de carte de crédit.

« C’est un combat tous les mois. On conteste, on envoie des preuves aux compagnies de cartes de crédit pour prouver que le client était chez nous. Le fardeau de la preuve nous revient », explique Emma-Jeanne Bouchard, codirectrice de Monsieur Jean, Hôtel particulier.

Emma-Jeanne et son équipe perdent des heures à régler ce type de dossiers. Heureusement, elles sont habituées et avec le temps elles ont développé certaines astuces. « On essaie toujours de faire insérer la carte du client dans le terminal, au lieu de faire le paiement à distance. Ça nous fait une preuve concrète », souligne Mme Bouchard.

Parfois, les clients ne se présentent tout simplement jamais, malgré une réservation réalisée des mois d’avance - des « no-show ». Monsieur Jean chargera alors la première nuitée, tel que convenu dans leur politique d’annulation. Ce montant peut toutefois être contesté, prétextant que le client n’a jamais fait de réservation.

« Certaines situations sont inévitables. Ça représente des milliers de dollars en pertes. On jongle constamment avec ça. Dieu sait que dans les petits hôtels, on porte déjà plusieurs chapeaux. La polyvalence est de mise! On dépense tellement d’énergie alors que notre temps pourrait être mieux investi », dénonce Mme Bouchard.

Il y a deux semaines seulement, un malfaiteur a fait une réservation par Booking avec une carte de crédit manifestement volée. Le client s’est alors présenté à l’hôtel, mais n’a jamais pu fournir une pièce d’identité ou une carte de crédit valide. Le stratagème s’est répété deux fois. Chaque fois, l’employé demandait au client de quitter les lieux, mais la réservation est tombée à l’eau.

« La personne arrive tard le soir ou dans la nuit, quand les hôtels sont les plus vulnérables parce qu’il y a peu d’employés. Cette façon de faire, c’était du jamais-vu », explique Mme Bouchard.

La situation a d’ailleurs été dénoncée à Booking et à la police de Québec.

Longs séjours

Au-delà des problèmes de cartes de crédit, la propriétaire de l’Hôtel Terrasse Dufferin, Christiane Bes, dénonce un autre stratagème récurrent. Après 30 ans dans le milieu, elle n’a jamais vu ça.

La nouvelle « mode » répandue surtout chez les Africains, dit-elle, est de réserver l’hôtel pendant un mois entier. Quand vient le temps de payer ou de se présenter, les clients sont disparus, tout comme leur carte de crédit.

Mme Bes perd alors un mois de réservation, à la dernière minute. Elle commence à comprendre le jeu et prévoit un coup d’avance, en vérifiant elle-même les cartes de crédit fournies par Booking.com au moment de la réservation.

« Cette année, c’est une catastrophe. Je passe des heures au téléphone avec Booking. Et je ne peux rien dire contre le site, il m’apporte environ 70 % de mes réservations », exprime l’hôtelière.

Arnaqués par des Russes

Un gestionnaire de plusieurs hôtels dans le Vieux-Québec travaille encore à recoller les pots cassés. Il souhaite garder l’anonymat pour éviter que la clientèle perde confiance en ses établissements.

« Quand je me suis connecté cette semaine sur Booking, j’ai vu que toutes les réservations actives ont reçu un message automatisé pour faire une mise à jour des informations bancaires, avec un lien frauduleux. »

Sur ce lien, il y avait une copie conforme du site web de l’hôtel, avec quelques lacunes. À ses frais, le gestionnaire a engagé des professionnels pour régler le problème, comme Booking disait n’être pas responsable.

« C’était finalement un site web créé il y a trois jours en Russie. Il extorque les numéros de carte de crédit de nos clients par là. »

La seule solution est de contacter tous les clients inscrits pour les avertir de cette fraude. « On a monopolisé tout le personnel pour régler ça rapidement. Ça prend un temps considérable et il est déjà trop tard pour certains. Le lien de confiance se brise et doit se rattraper », déplore l’hôtelier.

Le domaine de l’hôtellerie peut difficilement se défendre contre ces attaques.

« Ça commence à être plutôt varié [les techniques de fraude]. On se demande c’est quoi la prochaine étape! On se tourne de plus en plus vers le virtuel et plusieurs étapes sont réglées sur notre site web, pour contrer les problèmes de main-d’œuvre. Avec Booking, notre visibilité est internationale! On doit se protéger au même niveau. »

Son discours est partagé par l’AHRQ, qui est d’avis qu’une sensibilisation doit se faire à l’échelle du pays. Des subventions supplémentaires pour la cybersécurité devraient même être envisagées, croient plusieurs hôteliers à qui nous avons parlé.

« On doit opérer à distance et être autonome, pour ça, on doit faire confiance à notre système, qui devient vulnérable », ajoute l’hôtelier.

Conseils sur le dark web

Avec un spécialiste de l’entreprise GoSecure, spécialisée en cybersécurité, Le Soleil a consulté des forums de fraudeurs, sur le web et le dark web. L’un des forums s’appelle « Free hotels stays » et il semble être bien garni. On le retrouve sur un site de fraudeurs, bien protégé. Il faut toutefois faire ses preuves pour l’intégrer.

« Souvent, ils te demandent un dépôt. On pourrait l’infiltrer, mais ce n’est pas ce qu’on fait dans notre compagnie », explique Olivier Bilodeau.

La discussion privée semble pertinente, elle a déjà 1000 vues en une semaine, et certains internautes remercient le créateur pour ses bons trucs.

« On voit que Booking est une plateforme ciblée, grâce à l’outil de dark net monitoring. On voit que ça passe par le site pour essayer de réserver sans payer. Il y a aussi de faux rabais ou des gens qui peuvent réserver pour toi probablement avec des cartes volées ».

—  Olivier Bilodeau

Grâce à l’outil Flare Systems, fondé à Montréal, le spécialiste en cybersécurité est capable de trouver toutes sortes de forums qui discutent de techniques de fraude sur Booking.com. Toutes les discussions trouvées ont été publiées dans la dernière semaine et sont consultées par des internautes de partout dans le monde : normal, c’est le temps des vacances.

Des fraudeurs s’abreuvent de ces forums, pour la plupart bien caché dans le dark web.

« C’est le défi des plateformes numériques comme Booking, ils ne peuvent pas se permettre d’avoir de gros départements de protection contre la fraude actifs en tout temps. Mais plus la réputation d’une organisation va descendre, plus il vont devoir s’équiper en cybersécurité et protection de la fraude », souligne M. Bilodeau.

« Si dans trois mois, les forums sont encore là et les techniques marchent encore. Il y a un problème. »

Ces techniques peuvent donc rester efficaces quelque temps, avant que le site de réservation effectue les ajustements nécessaires pour corriger les failles. M. Bilodeau indique que c’est alors une question de temps avant que d’autres pros dénichent de nouvelles techniques frauduleuses.

***

Vous avez vécu une situation semblable? Écrivez-nous!