Technomedia

Alors que commence la Coupe du monde 2026, les chercheurs de FortiGuard Labs alertent sur l’ampleur des menaces numériques associées à l’événement. En cinq mois, plus de 13 000 noms de domaine liés à la FIFA 2026 ont été enregistrés, dont 8,8 % considérés comme malveillants ou suspects. Les campagnes de phishing, les faux sites de billetterie et les vols d’identifiants sont déjà pleinement opérationnels.

La Coupe du monde 2026 n’a pas encore livré son premier résultat sportif que les cybercriminels ont déjà pris une longueur d’avance. Selon une analyse publiée mercredi par FortiGuard Labs, le laboratoire de recherche et de veille sur les menaces de Fortinet, l’écosystème frauduleux associé à l’événement est déjà largement déployé, avec des campagnes de phishing (hameçonnage), des sites de billetterie contrefaits, des applications malveillantes et des opérations de vol d’identifiants visant aussi bien les supporters que les organisations impliquées dans la compétition.

8,8 % des sites liés à la thématique "FIFA 2026" sont frauduleux

L’étude montre que les attaquants ont anticipé l’engouement mondial suscité par le tournoi. Entre janvier et mai 2026, plus de 13 000 noms de domaine liés à la thématique "FIFA 2026" ont été enregistrés. Parmi eux, 8,8 % ont été identifiés comme malveillants ou suspects. Ce volume illustre la rapidité avec laquelle les cybercriminels exploitent les grands rendez-vous sportifs pour mettre en place leur infrastructure avant même le début officiel de la compétition.

Les chercheurs observent une accélération des enregistrements de domaines liés à la FIFA entre mars et mai. Les termes les plus fréquemment utilisés concernent la billetterie, les retransmissions en direct, les paris sportifs ou encore les solutions d’hébergement. L’objectif est clair : attirer les internautes au moment où ils recherchent des billets, des offres de voyage, des produits dérivés ou des liens de streaming.

La billetterie, l’un des principaux vecteurs d’attaque

La billetterie apparaît comme l’un des principaux vecteurs d’attaque. Les cybercriminels profitent de la rareté des places disponibles pour proposer de fausses offres de revente ou des promotions présentées comme limitées dans le temps. FortiGuard Labs a identifié plusieurs sites reproduisant l’apparence des plateformes officielles afin de collecter des informations personnelles, des identifiants de connexion ou des données bancaires.

Dans un cas, un domaine enregistré en mai 2026 reprenait fidèlement les contenus de la FIFA et intégrait un faux système de paiement destiné à récupérer des informations sensibles.

Sur les réseaux sociaux, 1 700 comptes suspects

Les réseaux sociaux constituent un autre terrain d’action privilégié. Plus de 1 700 comptes suspects liés à la Coupe du monde ont été repérés sur les plateformes sociales et les messageries. Près de 90 % d’entre eux étaient présents sur Facebook et Instagram.

Ces comptes servent à diffuser de faux liens de streaming, des campagnes de phishing, des logiciels malveillants ou encore de fausses promotions. Ils permettent également aux fraudeurs d’entrer directement en contact avec les supporters en s’insérant dans les discussions consacrées aux équipes, aux déplacements ou à la recherche de billets.

Paris sportifs, streaming : attention aux applications

L’étude met aussi en évidence la circulation de logiciels malveillants profitant de l’intérêt pour le tournoi. Des applications liées aux paris sportifs ou au streaming ont été identifiées comme suspectes. Plusieurs fichiers APK thématiques ont également été détectés sur des plateformes de téléchargement non officielles, exposant les utilisateurs à des risques de compromission, de vol d’identifiants ou de prise de contrôle à distance.

Le recrutement constitue également une cible. Les besoins temporaires générés par l’organisation d’un Mondial créent un contexte favorable aux escroqueries à l’emploi. FortiGuard Labs décrit une campagne utilisant de fausses offres estampillées FIFA ou associées à ses partenaires. Les victimes étaient redirigées vers des pages imitant les interfaces de connexion Google afin de récupérer leurs identifiants. Les chercheurs ont en outre constaté que plusieurs domaines frauduleux partageaient le même identifiant Google Analytics, suggérant une opération coordonnée.

Des collaborateurs de la FIFA ciblés

L’un des constats les plus préoccupants concerne toutefois l’exposition des identifiants. Les analystes ont découvert plus de 4 600 URL liées à la FIFA dans des journaux d’infostealers associés aux familles de malwares Vidar, LummaC2 et RedLine. Ces données contenaient plus de 260 identifiants appartenant à des collaborateurs de la FIFA ainsi qu’environ 270 000 identifiants de supporters ou d’utilisateurs ayant consulté des sites liés à la compétition. À cela s’ajoutent plus de 1 500 enregistrements provenant de précédentes fuites de données impliquant des comptes de collaborateurs ou des comptes d’entreprise.

Face à cette montée en puissance des menaces, les chercheurs appellent les organisations à renforcer leur surveillance des domaines frauduleux, des usurpations de marque, des faux profils sur les réseaux sociaux et des fuites d’identifiants. Les utilisateurs sont également invités à privilégier les canaux officiels pour l’achat de billets, à éviter les applications téléchargées hors des boutiques reconnues et à vérifier systématiquement l’authenticité des offres d’emploi ou des demandes de paiement. Une recommandation qui résume à elle seule le constat de l’étude : pour les cybercriminels, la Coupe du monde 2026 a déjà commencé…

Philippe Rioux