Depuis fin 2025, une nouvelle campagne d’attaque baptisée PHALT#BLYX cible massivement le secteur de l’hôtellerie et du voyage en Europe. La plateforme AirBnB est aussi susceptible d’être touchée. Contrairement à ce qu’on pourrait imaginer, ce n’est pas une “faille technique Windows” qui est exploitée, mais une manipulation humaine organisée, appelée « arnaque à l’écran bleu » (Blue Screen of Death, en anglais).
Ce type d’attaque illustre une évolution majeure : les cybercriminels n’ont plus besoin de “casser” vos systèmes, ils exploitent vos équipes.
- Fonctionnement de l’arnaque
- Ampleur des victimes
- 5 règles pour parer l’attaque
- Ce qu’il faut retenir
Le faux écran bleu (BSOD) : comment l’arnaque fonctionne
La campagne vise les utilisateurs de Windows. Elle commence généralement par un email de phishing imitant celui de la plateforme Booking.com. Ces messages annoncent, pour accroître l’urgence, une annulation de réservation ou un ajustement de paiement substantiel, ce qui incite le destinataire à cliquer.
Une fois le lien cliqué :
- La victime est redirigée vers un clone quasi parfait du site booking.com.
- Une fausse étape de vérification (faux CAPTCHA) s’affiche.
- Cette étape mène à un faux écran bleu de la mort (BSOD) simulé dans le navigateur.
- L’utilisateur, sous pression et croyant résoudre un problème critique, est guidé pour exécuter une commande dans la boîte Windows Exécuter, qui installe en fait un logiciel espion, type AsyncRAT (voir encadré).
Ce scénario exploite la peur, l’urgence apparente et l’autorité d’une marque connue pour amener quelqu’un à faire une action dangereuse de façon volontaire, ce qui rend la technique redoutablement efficace.
À ce stade, aucun groupe de cybercriminels n’a été formellement identifié comme étant à l’origine de cette campagne. Les analystes parlent d’une opération de cybercriminalité opportuniste, reposant sur des outils largement diffusés et des techniques d’ingénierie sociale déjà documentées.
Ampleur des victimes de cette arnaque
Ce modèle fait partie d’un mouvement plus large de cybermenaces, désormais bien connue : phishing et ingénierie sociale. Elles restent parmi les vecteurs principaux des incidents de sécurité majeurs, causant parfois des pertes financières, des vols de données ou des ruptures de service.
Dans la campagne PHALT#BLYX, le secteur hôtelier et travel européen a été désigné comme cible prioritaire, avec des scénarios conçus pour exploiter le stress des périodes de forte activité.
À ce stade, aucun chiffre officiel ne permet de quantifier précisément le nombre de victimes de cette attaque. Les analyses publiées décrivent toutefois une campagne de phishing à grande échelle, ciblant spécifiquement le secteur de l’hôtellerie et du voyage en Europe. L’absence de chiffres publics est cohérente avec la nature de ces attaques, qui exploitent des actions légitimes et sont rarement détectées immédiatement.
Sources :
– Help Net Security
– Microsoft Security Blog
– Secureworld
5 règles pour parer l’attaque
Cette attaque fonctionne parce qu’elle ressemble à un message de travail normal. La détection ne repose donc pas sur “être bon en informatique”, mais sur des réflexes simples et vérifiables.
1. Vérifier le libellé réel de l’email
Premier réflexe, systématique. Le nom affiché peut être Booking.com Support mais le vrai indicateur est l’adresse complète derrière. Donc, à vérifier :
- domaine exact (ex.
@booking.com≠@booking-support.com) - présence de caractères proches (
bookìng,booklng,bokking) - sous-domaines trompeurs (
booking.com.secure-check[.]xyz)
👉 Un email professionnel légitime n’utilise pas de domaines bricolés.
2. Se méfier des messages “opérationnels urgents”
Les messages frauduleux utilisent presque toujours :
- une urgence financière (paiement bloqué, annulation imminente)
- une menace opérationnelle (compte suspendu, réservation perdue)
- un vocabulaire pressant : immédiat, action requise, dernier rappel
👉 Dans la vraie vie, Booking, tout comme Expedia ou Agoda, ne menacent pas en une étape et ne demandent pas d’agir immédiatement sans canal officiel.
3. Regarder ce que le message demande réellement
Signal d’alerte majeur si l’email demande :
- d’exécuter une commande
- d’installer un outil
- de “réparer” un problème système
- de contacter un support via un lien ou un numéro fourni
👉 Aucune plateforme de réservation ne demande d’action technique locale sur un poste. JAMAIS.
4. Identifier les faux écrans BSOD
Si jamais vous avez malencontreusement cliqué sur le lien, voilà comment repérer un vrai écran bleu Windows d’un faux.
| Vrai BSOD | Faux BSOD |
|---|---|
| Bloque la machine (on ne peut plus rien faire) | Apparaît dans le navigateur |
| N’affiche aucune instruction | Est souvent accompagné de texte explicatif |
| Ne demande aucune action | Incide à « suivre les étapes » ou contacter le support |
| Ne fournit aucun lien, QR code ou contact |
👉 Dès qu’un écran d’erreur demande une action : c’est suspect.
5. Appliquer une seule règle simple
Une règle claire, répétée, affichée :
En cas de doute ou d’urgence apparente :
on ne fait rien seul. On alerte.
Concrètement, on utilise le seul canal défini (IT / référent / direction) pour passer le message et le poste concerné est isolé, en cas de doute et avant toute tentative de réparation
Important : aucun reproche n’est adressé en cas de fausse alerte
👉 Une organisation qui punit le doute favorise les attaques.
Ce qu’il faut retenir
Cette arnaque ne trompe pas parce que les gens sont naïfs. Elle trompe parce qu’elle s’insère dans le quotidien professionnel. La meilleure défense est de :
- ne jamais cliquer dans l’urgence
- prendre le temps de vérifier. Pas de précipitation. Pas de panique.
- ne restez jamais seul face à l’urgence
Faire circuler l’information rapidement auprès des équipes, dès qu’un message suspect est identifié. N’hésitez pas à partager une capture d’écran et expliquer pourquoi c’est une arnaque.
Conclusion : La cybersécurité ne se résume plus à la technique. Une manipulation psychologique bien construite peut compromettre une organisation entière.
Une bonne défense passe aussi par :
- la compréhension des mécanismes de manipulation,
- la formation orientée comportement,
- des règles claires en situation d’urgence.
Aller plus loin
Si vous gérez un hôtel, une agence de voyage ou des locations touristiques, nous pouvons vous proposer un guide personnalisé de bonnes pratiques opérationnelles, spécifiquement adapté à vos contraintes métier : incidents techniques, pression opérationnelle, accès aux données clients et gestion des situations d’urgence.
Et pour se préparer efficacement à une crise CyberIA, nous avons développé une approche 360° qui offre un cadre opérationnel capable, entre autres, d’anticiper les scénarios possibles, clarifier les responsabilités et entraîner les équipes à réagir sous pression.
le malware installé
DCRat / AsyncRAT
La chaîne d’infection PHALT#BLYX aboutit à l’installation d’un Remote Access Trojan (RAT) comme DCRat, un équivalent de AsyncRAT.
Le but n’est pas seulement la compromission ponctuelle, mais l’accès durable aux systèmes compromis via un outil qui se cache derrière des processus officiels du système.
Ce type de cheval de Troie permet au pirate de 👉
1 – Visualiser l’écran
Le pirate voit tout. Les systèmes que vous utilisez. Les sites que vous consultez. Les messages que vous écrivez, à qui, et quand. Il observe votre façon de travailler, en mode espion.
2 – Enregistrer les frappes de clavier
Chaque touche tapée est enregistrée. Identifiants, mots de passe, recherches, messages . Le pirate récupère ce que vous saisissez.
3 – Obtenir des accès persistants
Même après un redémarrage, même si l’utilisateur pense que “le problème est réglé”., le logiciel reste. Le pirate revient quand il le souhaite, sans refaire l’attaque.
4 – Exfiltrer des données
Les données visibles ou accessibles depuis le poste sont copiées et envoyées à distance. Données clients, documents, factures, réservations, accès internes. L’exfiltration se fait souvent sans alerte immédiate.
