En demandant à certains passagers de régler un supplément carburant quelques jours avant leur départ, Volotea a relancé le débat sur la transparence du prix des billets d’avion. Mais cette affaire soulève une question plus large : que se passe-t-il quand une entreprise habitue ses clients à payer depuis un lien reçu par email ? Pour les fraudeurs, c’est une invitation.
L’affaire paraît presque banale. Un passager reçoit un message de Volotea quelques jours avant son départ : un supplément carburant s’applique à son vol. Dans le cas observé, 11 euros. Pas de somme énorme, pas de menace, pas de message grossièrement frauduleux. C’est justement ce qui rend le sujet intéressant.
Volotea défend une logique simple : faire varier le prix final du billet selon l’évolution du coût du carburant. Si le carburant augmente, le client paie un supplément ; s’il baisse, il peut être remboursé. Le dispositif est présenté comme transparent et encadré.
Mais cette logique a suscité des critiques. En Europe, le prix final doit être affiché clairement au moment de l’achat. Ajouter un supplément après la réservation, même pour quelques euros, pose une question de fond : un billet est-il vraiment acheté si son prix peut encore évoluer avant le départ ?
Volotea a depuis indiqué abandonner cette pratique pour les nouvelles réservations. Le débat juridique reste ouvert. Mais un autre problème mérite autant d’attention, à savoir le risque de fraude.
Un scénario parfait pour le phishing
Dans le message reçu par le passager, Volotea annonce qu’un email suivra sous 48 heures avec un lien pour effectuer le paiement. Ce parcours coche toutes les cases d’un scénario de phishing efficace : une marque connue, un voyage imminent, un petit montant qui endort la méfiance, une explication crédible, et surtout, une attente créée chez le client. Il sait qu’un lien de paiement va arriver.
Pour un fraudeur, le travail est presque déjà fait. Il lui suffit d’imiter l’email, de reprendre le logo, de mentionner un supplément carburant et d’ajouter un faux lien. Pas besoin d’inventer une histoire extravagante, puisque le contexte existe déjà.
Ces parcours s’avèrent dangereux, parce qu’ils créent une habitude risquée : cliquer sur un lien reçu par email pour payer un supplément lié à une réservation. Or, depuis des années, les messages de prévention répètent l’inverse : ne payez pas depuis un lien reçu par email, vérifiez toujours depuis l’espace client ou l’application officielle. Le parcours commercial vient directement brouiller ce réflexe.
Et le problème n’est pas les 11 euros., mais la confusion créée dans l’esprit du client. En effet, comment savoir si l’email est authentique ? Que le lien renvoie bien vers Volotea ? Comment distinguer le vrai message d’une copie frauduleuse, si celle-ci arrive au bon moment, avec le bon ton et le bon montant ?
Le client ne devrait jamais avoir à se poser ces questions.
La confiance numérique se joue aussi dans les parcours clients
A quoi bon pour les entreprises d’investir dans la cybersécurité, si elles continuent de concevoir des parcours clients qui ressemblent à ceux des fraudeurs. Un parcours peut être légalement défendable et commercialement justifié. S’il pousse les clients à adopter de mauvais réflexes, il devient un risque.
Une approche plus sûre aurait pourtant été simple : ne pas envoyer de lien de paiement direct. L’email informe le passager qu’une action est requise, et l’invite à se connecter lui-même à son espace client. Une fois authentifié, il retrouve la demande dans sa réservation.
La différence peut sembler minime. Elle est pourtant essentielle. Dans un cas, le client clique sur un lien reçu. Dans l’autre, il reprend le contrôle et s’identifie dans un environnement connu. En termes de sécurité, ça n’a plus rien à voir.
