À moins d'une semaine du début de la Coupe du monde 2026, qui se déroule aux États-Unis, au Mexique et au Canada, les experts en cybersécurité alertent sur une recrudescence des arnaques en ligne. Un rapport détaillé, publié par un cabinet de sécurité spécialisé, met en lumière l'ampleur des menaces qui pèsent sur les supporters, les entreprises du secteur touristique et les infrastructures numériques liées à l'événement.
Des tokens frauduleux et des centaines de faux domaines
Parmi les escroqueries les plus récentes, un actif numérique baptisé $WORLDCUP circule depuis la mi-mai 2026 sur la blockchain Solana. Aucun audit de sécurité indépendant ni lien officiel avec la FIFA n'a été identifié. Les analystes soupçonnent un mécanisme de type « rug pull » : les promoteurs feraient artificiellement grimper la valeur du token pour attirer des investisseurs, avant de retirer brutalement les liquidités, laissant les acheteurs sans rien.
Dans le même temps, les enregistrements de noms de domaine frauduleux ont connu un pic en avril 2026, deux mois avant le coup d'envoi. Les marques d'hébergement constituent la cible principale, représentant 56 % des sites clonés recensés. Les supporters qui cherchent à réserver un hôtel ou un vol risquent de tomber sur des pages parfaitement imitées, conçues pour voler leurs données bancaires.
Des applications mobiles malveillantes en nombre record
Plus de 35 applications mobiles imitant des bookmakers légaux ont été publiées sur le Play Store ces six derniers mois. Le rythme de publication de ces apps frauduleuses est soixante fois supérieur à celui de la même période l'année précédente. Ces logiciels contiennent souvent des malwares bancaires capables de subtiliser identifiants et mots de passe.
Par ailleurs, un tiers des partenaires officiels de la FIFA ne disposent pas d'un protocole DMARC correctement configuré. Ce mécanisme d'authentification des courriels permet de vérifier qu'un message provient bien du domaine qu'il revendique. Sans cette protection, un attaquant peut usurper l'identité d'un fournisseur officiel et convaincre un service comptable de valider un virement frauduleux.
Des ransomwares ciblent les acteurs du voyage
Entre janvier et mars 2026, plusieurs organisations du secteur du voyage ont subi des attaques par ransomware. Le groupe Qilin a chiffré des systèmes à l'aéroport international de Tulsa en janvier. Le groupe Clop a revendiqué une intrusion chez Hilton le même mois. En mars, WorldLeaks a ciblé un hôtel Sheraton. Dans chaque cas, les pirates ont exploité des failles dans des équipements réseau exposés sur Internet pour déployer leur rançongiciel.
Des groupes criminels coordonnés
Selon les analystes, les groupes criminels les plus actifs seraient alignés sur la Russie. On trouve notamment NoName057(16), Killnet, APT28, Storm-1679 et Storm-1099. Ces entités combinent habituellement des attaques par déni de service distribué (DDoS), de l'espionnage et de la désinformation assistée par intelligence artificielle.
Lors des Jeux olympiques de Milan-Cortina en février dernier, NoName057(16) avait ciblé des hôtels, des transports et des administrations italiennes, avec un pic d'activité pendant la cérémonie d'ouverture. Storm-1679 aurait généré par intelligence artificielle un faux documentaire intitulé Olympics Has Fallen, utilisant l'image de Tom Cruise pour discréditer le Comité international olympique durant les Jeux de Paris.
Les experts pointent également le groupe pro-palestinien Handala. Ce dernier a revendiqué en mars le vol de données personnelles liées au directeur du FBI, Kash Patel. Selon le cabinet de sécurité, Handala pourrait potentiellement cibler des sponsors, des médias ou des personnalités politiques associées aux pays participants.
Le coup d'envoi de la Coupe du monde 2026 est dans six jours. Les cybercriminels, eux, sont déjà prêts.
