Voyage au cœur d’un phishing contre Expedia

Un cas de phishing visant Expedia s’illustre une nouvelle fois dans une décision UDRP révélatrice des risques d’usurpation d’identité dans le secteur du voyage en ligne.

Dans la décision FA2408002113194 relative au nom de domaine litigieux <expediagroup.online>, le Centre d’arbitrage du Forum (ADR Forum) a ordonné le transfert du nom de domaine au profit de la société plaignante, confirmant ainsi une utilisation frauduleuse caractérisée.

Phishing contre Expedia : une fraude bien organisée

Le litige porte sur un nom de domaine reprenant quasi intégralement la marque EXPEDIA, à laquelle s’ajoute le terme générique « group ». Cette construction renforce le risque de confusion. Elle laisse croire à une entité officielle du groupe.

La société plaignante, Expedia, figure parmi les plus grandes entreprises de voyages au monde. Elle exploite notamment le site officiel <expedia.com> ainsi que de nombreuses déclinaisons locales. Son portefeuille comprend des marques majeures telles que EXPEDIA, TRAVELOCITY, HOTELS.COM, HOTWIRE, ORBITZ ou encore VRBO.

Expedia revendique une présence mondiale forte :

• plus de 200 sites de réservation,
• plus de 70 pays couverts,
• plus de 3 millions d’hébergements,
• plus de 500 compagnies aériennes,
• plus de 220 000 activités.

Son chiffre d’affaires atteint des niveaux considérables :

• 12,8 milliards de dollars en 2023,
• 11,6 milliards en 2022,
• 8,5 milliards en 2021.

La marque EXPEDIA, déposée dès 1999 aux États-Unis, bénéficie d’une notoriété importante à l’échelle internationale.

Une opération de phishing sophistiquée

Le nom de domaine litigieux ne sert pas à un simple site parking. Il s’inscrit dans une campagne active de phishing contre Expedia.

Le défendeur utilise en effet ce domaine pour envoyer des courriels frauduleux. L’objectif est clair : tromper les consommateurs et usurper l’identité d’Expedia.

Les éléments relevés dans la décision sont particulièrement accablants :

• envoi d’e-mails frauduleux proposant de fausses locations de vacances en Amérique latine ;
• utilisation du nom « Expedia Group » dans les signatures ;
• reproduction du logo distinctif « e » de la marque ;
• documents joints imitant des supports officiels.

Ces pratiques visent à crédibiliser la fraude. Elles exploitent la confiance des utilisateurs envers une marque reconnue.

Une violation manifeste des principes UDRP

Pour obtenir le transfert du nom de domaine, la société Expedia a démontré les trois critères classiques de l’UDRP :

1. Similarité avec une marque antérieure

Le nom de domaine <expediagroup.online> reprend intégralement la marque EXPEDIA. L’ajout du terme « group » ne suffit pas à écarter le risque de confusion.

2. Absence de droits ou d’intérêts légitimes

Le défendeur ne dispose d’aucune autorisation. Il n’exerce aucune activité légitime sous ce nom. Au contraire, il exploite la marque dans un contexte frauduleux.

3. Enregistrement et usage de mauvaise foi

La mauvaise foi ne fait aucun doute. Le nom de domaine sert à une opération de phishing. Il vise à tromper les consommateurs et à tirer profit de la notoriété de la marque.

Le panel souligne que l’utilisation du domaine dans des e-mails frauduleux constitue une preuve forte de mauvaise foi.

Le tourisme, cible privilégiée des fraudeurs

Cette affaire s’inscrit dans une tendance plus large. Le secteur du tourisme constitue une cible récurrente pour les cybercriminels.

Les marques de voyage bénéficient d’une forte visibilité. Elles inspirent confiance. Cela en fait des vecteurs idéaux pour des campagnes de phishing.

Une affaire similaire a déjà été observée avec une autre enseigne du secteur hôtelier. Vous pouvez consulter cette analyse détaillée concernant Louvre Hôtels.