DMARC est un protocole d’authentification des courriels conçu pour protéger les noms de domaine contre les tentatives de fraude. Une simple modification DNS authentifie l’identité de l’expéditeur avant qu’un message n’atteigne sa destination. DMARC offre trois niveaux de protection : la surveillance, la mise en quarantaine et le rejet, ce dernier étant le plus sûr pour empêcher les messages suspects d’atteindre les boîtes de réception.

Avec 80 % des Français réservant leurs vacances exclusivement en ligne, le secteur du tourisme est particulièrement touché par l’usurpation de noms de domaine. La saison estivale et l’augmentation des visites sur les sites de réservation, combinées à un volume élevé de courriels et d’offres promotionnelles, ne font qu’exacerber les risques pour les consommateurs. C’est une aubaine pour les acteurs malveillants qui peuvent rapidement transformer des vacances de rêve en cauchemar, grâce à des techniques de fraude sophistiquées, encourageant les gens à cliquer sur un lien corrompu, une pièce jointe infectée, ou même à transférer des fonds vers un faux compte bancaire.

Les principales conclusions de la recherche de Proofpoint sont les suivantes :

• En France, 90 % de ses principaux sites de voyage ont publié un enregistrement d’authentification DMARC – faisant de la France un des meilleurs élèves parmi ses homologues européens et du Moyen-Orient (derrière le Royaume-Uni, l’Espagne, avec un taux d’adoption de 100 %, et l’Arabie Saoudite, avec un taux d’adoption de 95 %).
• Cependant, les résultats révèlent une marge d’amélioration significative, car si 65 % de ces sites ont adopté la politique à son niveau le plus élevé (« rejet »), 35 % d’entre eux laissent encore leurs clients, leur personnel et leurs partenaires vulnérables à la réception de courriels frauduleux usurpant l’identité de ces marques.
• En Europe et au Moyen-Orient, 88 % des principaux sites de voyage ont publié un enregistrement DMARC. Cependant, moins de la moitié (46 %) des sites analysés sont au niveau de rejet, ce qui signifie qu’une majorité (54 %) expose les clients au risque de fraude par courriel.

« La saison des réservations estivales représente une opportunité très lucrative pour les cybercriminels. S’étendant sur plusieurs mois, cette période génère un volume considérable de transactions financières importantes, mais a également une valeur émotionnelle et sentimentale pour les voyageurs, ce qui en fait des cibles privilégiées. Les attaquants exploitent des techniques de fraude par courriel sophistiquées, usurpant l’identité de grandes entreprises d’hébergement et de transport pour tromper leurs victimes pendant la haute saison des voyages », déclare Xavier Daspre, directeur technique France chez Proofpoint. « Parmi les leurres les plus courants figurent l’envoi de fausses confirmations de réservation, d’offres trop alléchantes, ou de demandes de paiement urgentes justifiées par de faux changements de vol. Ces communications frauduleuses peuvent être extrêmement convaincantes, mettant en péril les finances et les données personnelles des voyageurs. »

« Les entreprises de voyage ont une responsabilité sociale de faire tout ce qui est en leur pouvoir pour empêcher l’envoi de courriels d’escroquerie convaincants en leur nom aux vacanciers », poursuit Xavier Daspre. « La mise en œuvre de la technologie DMARC à son niveau le plus élevé de « rejet » permet aux entreprises de voyage de réduire considérablement le risque que cela se produise, protégeant à la fois leur marque et les vacanciers en même temps, c’est gagnant-gagnant. »

Proofpoint conseille aux consommateurs de suivre ces conseils pour rester en sécurité lors de la réservation et de la gestion de leurs voyages en ligne :

• Protégez vos mots de passe et vos comptes clients : Créez un mot de passe unique pour chaque plateforme et utilisez un gestionnaire de mots de passe pour faciliter et sécuriser votre réservation en ligne. Mettez en œuvre l’authentification multi-facteurs pour une sécurité renforcée.
• Méfiez-vous des fausses offres spéciales et des faux sites web : Soyez vigilant face aux offres trop compétitives et aux sites web frauduleux qui imitent ceux des grandes compagnies aériennes, des hôtels ou des sites de comparaison. Ces sites contrefaits sont conçus pour voler de l’argent et des identifiants.
• Évitez les menaces de phishing par courriel et SMS : Méfiez-vous des courriels ou des SMS de phishing concernant les changements de vol, les confirmations de réservation ou les demandes de visa qui exigent une action immédiate ou la soumission d’informations confidentielles. Ces messages redirigent souvent vers des sites web dangereux conçus pour collecter des données personnelles, y compris les identifiants de connexion et les détails de carte de crédit.
• Évitez de cliquer sur les liens : Saisissez l’adresse d’un site web connu directement dans votre navigateur pour accéder aux offres. Pour les codes promotionnels, saisissez-les lors du processus de paiement pour vérifier leur légitimité.
• Vérifiez avant d’acheter : Les publicités, sites web et applications mobiles frauduleux peuvent être très convaincants. Avant de télécharger une nouvelle application ou de visiter un site web inconnu, prenez le temps de lire les avis en ligne et de vérifier les opinions des clients.

Méthodologie
Pour évaluer le niveau d’adoption de la protection DMARC, Proofpoint a réalisé une analyse des noms de domaine des 20 principaux sites web et applications de voyage en France, au Royaume-Uni, en Italie, en Allemagne, en Espagne, au Benelux, aux Émirats arabes unis et en Arabie Saoudite (basée sur les données de Semrush, ecommerce Italia, Fevad, Statista, Ocu et SimilarWeb) en mai 2025.