FIFA 2026 : le FBI signale 4 300 domaines pirates et malwares

Le FBI alerte sur une campagne de fraude FIFA 2026 sans précédent

Le Bureau fédéral d'investigation américain (FBI) a publié le 27 mai 2026 une alerte officielle avertissant le public que des acteurs malveillants mènent des attaques de spoofing ciblant le site officiel de la FIFA dans le cadre de la Coupe du Monde 2026. La compétition, qui se déroulera du 11 juin au 19 juillet 2026 aux États-Unis, au Mexique et au Canada, représente l'événement sportif le plus suivi de la planète — et, par conséquent, une cible de choix pour les cybercriminels de toutes envergures.

L'ampleur de la préparation criminelle dépasse tout ce qui avait été observé lors des éditions précédentes. Le cabinet de cybersécurité Group-IB a recensé plus de 4 300 domaines frauduleux liés à la FIFA enregistrés depuis août 2025. Parmi eux, environ 3 800 étaient encore dormants à la date de publication du rapport, prêts à être activés dès le lancement du tournoi. Ces domaines imitent à des degrés divers l'apparence visuelle du site officiel fifa.com, en utilisant des techniques classiques de typosquatting (substitution de lettres), d'ajout de préfixes ou suffixes, ou d'utilisation d'extensions alternatives (.org, .io, .shop).

Les types d'arnaques documentées sont variés et couvrent l'ensemble du cycle de l'événement. Des boutiques de marchandise contrefaite reproduisent l'identité visuelle des équipes nationales et de la FIFA pour vendre des produits de mauvaise qualité ou inexistants. Des sites de billetterie frauduleux proposent des places à des prix attractifs, collectent les paiements et ne livrent rien — ou livrent des billets falsifiés sans valeur. Des plateformes de paris sportifs illégaux collectent des scans de passeports et des selfies sous prétexte de vérification d'identité, alimentant des bases de données destinées à l'usurpation d'identité.

L'attaque la plus sophistiquée documentée dans les rapports de Group-IB et Fortinet Labs cible directement les smartphones Android. Des applications de streaming non officielles — promettant un accès gratuit aux matchs en direct — sont distribuées via des sites tiers, des groupes Telegram et des liens partagés sur les réseaux sociaux. Une fois installées, ces applications réclament les permissions d'accessibilité Android, un accès aux notifications et un droit d'affichage par-dessus d'autres applications. Si l'utilisateur accorde ces permissions, le malware prend le contrôle complet de l'appareil.

Une fois actif, le composant malveillant peut superposer de faux écrans de connexion bancaire par-dessus les applications légitimes, enregistrer tout ce que l'utilisateur saisit, intercepter les codes à usage unique (OTP) transmis par SMS et par les applications d'authentification, et contrôler l'écran à distance depuis l'infrastructure des attaquants. Ce type de malware, classé dans la catégorie des banking trojans ou Mobile RAT (Remote Access Trojan), permet des opérations de fraude bancaire en temps réel, parfois pendant que la victime utilise son téléphone pour regarder un match.

Une troisième famille d'attaques cible les comptes FIFA officiels. Des cybercriminels ont créé des pages de connexion imitant fidèlement le portail FIFA, dans le but de voler les identifiants des utilisateurs possédant un compte légitime sur fifa.com — comptes qui peuvent être associés à des tickets déjà achetés, des données de paiement enregistrées et des informations personnelles sensibles. Le FBI signale qu'au moins une opération documentée a permis à des attaquants de prendre le contrôle de comptes réels et de revendre les billets numériques associés sur des marchés secondaires.

Plusieurs organismes de cybersécurité ont rejoint l'alerte du FBI. Bitdefender a publié une analyse détaillée des domaines frauduleux actifs. Fortinet Labs a documenté les souches de malwares Android spécifiquement compilées pour la campagne FIFA 2026. The Hacker News a relayé le 5 juin 2026 un rapport exhaustif décrivant l'écosystème complet de la fraude. Le pic de risque est identifié pour la période allant du 11 juin (cérémonie d'ouverture) au 19 juillet (finale), avec une intensité maximale attendue lors des demi-finales et de la finale.

Les recommandations de protection publiées par le FBI sont précises : naviguer directement vers fifa.com en saisissant l'adresse dans la barre du navigateur, et ne jamais passer par un moteur de recherche pour accéder au site officiel. Ne pas installer d'applications de streaming depuis des sources tierces. Refuser systématiquement les permissions d'accessibilité à toute application de divertissement. Vérifier l'URL complète des pages de connexion avant de saisir des identifiants. Utiliser un gestionnaire de mots de passe pour détecter automatiquement les sites frauduleux.

Les grands événements sportifs, amplificateurs de menaces cyber

La campagne de fraude autour de la FIFA 2026 s'inscrit dans un schéma bien établi : les grands événements sportifs mondiaux génèrent systématiquement un pic de cybercriminalité proportionnel à leur audience globale. Les Jeux Olympiques de Paris 2024 avaient vu le CERT-FR et l'ANSSI publier des alertes similaires sur des campagnes de phishing ciblant les spectateurs et les organisateurs. La Coupe du Monde Qatar 2022 avait été le cadre d'une fraude au billet sans précédent. La FIFA 2026 dépasse ces précédents par le nombre de domaines enregistrés et la sophistication des outils déployés.

L'utilisation des permissions d'accessibilité Android comme vecteur d'attaque mérite une attention particulière. Ce mécanisme, conçu à l'origine pour aider les utilisateurs en situation de handicap, est devenu l'un des outils préférés des auteurs de banking trojans mobiles. Des familles de malwares comme Anatsa, TrickMo et Brokewell utilisent cette technique depuis plusieurs années. La campagne FIFA 2026 semble réutiliser et adapter ces souches existantes, profitant de l'urgence perçue par les utilisateurs pour court-circuiter le jugement de sécurité — la promesse de regarder un match gratuitement étant un levier psychologique particulièrement efficace.

Pour les entreprises dont les employés utilisent leurs smartphones personnels pour des usages professionnels (BYOD), la menace présente une dimension supplémentaire. Un appareil Android compromis par un banking trojan FIFA peut également exposer les applications professionnelles installées sur le même terminal : messagerie d'entreprise, VPN, clients d'accès à distance, applications métier. Les responsables de la sécurité doivent informer leurs collaborateurs du risque spécifique lié à l'installation d'applications de streaming non officielles pendant la période du tournoi, idéalement via une communication interne ciblée.

Du point de vue réglementaire, la montée en puissance de la fraude FIFA 2026 pose la question de la responsabilité des plateformes de distribution d'applications tierces. Telegram, en particulier, est régulièrement utilisé comme canal de distribution de malwares déguisés en contenus sportifs. La directive NIS2, entrée en application dans les États membres de l'Union européenne, impose aux opérateurs de services numériques de renforcer leurs capacités de détection et de réponse aux incidents — une obligation qui couvre potentiellement les plateformes de messagerie à grande audience, bien que la mise en application effective reste disparate selon les pays membres.

Ce qu'il faut retenir

• Plus de 4 300 faux domaines FIFA ont été enregistrés depuis août 2025 — la majorité sont encore dormants et seront activés pendant le tournoi (11 juin - 19 juillet 2026).
• Les apps de streaming non officielles distribuées hors stores officiels embarquent des banking trojans Android capables de voler codes bancaires, OTP et de prendre le contrôle du téléphone à distance.
• Règle essentielle : saisir fifa.com directement dans la barre du navigateur, ne jamais installer une app de streaming depuis une source tierce et refuser les permissions d'accessibilité Android à tout app de divertissement.