Coupe du Monde 2026 : le FBI alerte sur les faux sites FIFA

Le FBI identifie 35 sites frauduleux FIFA avant le coup d'envoi

Le 27 mai 2026, le FBI a publié via son Internet Crime Complaint Center (IC3) une alerte publique officielle référencée PSA260527, mettant en garde les supporters et voyageurs contre une vague de sites web frauduleux exploitant l'image de la FIFA et de la Coupe du Monde 2026. L'enquête du Bureau a permis d'identifier au moins 35 domaines spoofés qui reproduisent fidèlement l'interface visuelle de la FIFA — branding, listings de produits, formulaires d'achat — avec une précision conçue pour tromper les utilisateurs. BleepingComputer, TechRadar et Help Net Security ont relayé l'alerte le même jour, soulignant l'ampleur de la campagne frauduleuse à quelques semaines de l'ouverture du tournoi.

La technique principale employée est le typosquatting : les opérateurs malveillants enregistrent des domaines proches de l'officiel fifa.com avec des modifications mineures difficiles à repérer. Les exemples identifiés par le FBI incluent fiffa.com (doublement de la lettre f), ainsi que des variantes utilisant des extensions alternatives — .org, .xyz, .live, .sale — à la place du .com officiel. Ces domaines sont enregistrés via des services d'anonymisation, souvent dans des juridictions peu coopératives avec les demandes d'entraide judiciaire internationale, ce qui complique considérablement leur démantèlement rapide par les autorités américaines, canadiennes et mexicaines.

L'alerte IC3 détaille plusieurs catégories de menaces documentées sur ces plateformes. La première concerne la vente de faux billets : les sites proposent des places pour des matches officiellement sold out, à des prix légèrement en dessous du marché pour paraître crédibles. Les victimes qui procèdent au paiement reçoivent soit des billets numériques non reconnus aux tourniquets, soit aucune confirmation de commande. Les recours sont extrêmement difficiles en raison du caractère international des opérateurs et de l'utilisation de sociétés-écrans dans des pays tiers sans extradition simplifiée avec les États hôtes.

La deuxième catégorie porte sur les packages d'hospitalité et les offres de voyage combinées. Des organisateurs fictifs se présentent comme agences officiellement agréées par la FIFA, proposant des packages incluant hôtel, transport et billets pour des montants allant de quelques centaines à plusieurs dizaines de milliers de dollars. Ces offres ciblent en priorité les supporters étrangers — européens et sud-américains notamment — dont la connaissance du marché nord-américain est limitée. La FIFA publie un registre des opérateurs agréés sur son site officiel, mais celui-ci est peu connu des supporters occasionnels, qui font facilement confiance à des agences apparemment professionnelles.

Le troisième vecteur concerne la collecte de données personnelles. Des formulaires imitant les processus officiels de la FIFA — création de compte FAN ID, vérification d'identité pour l'achat de billets — sont utilisés pour collecter des informations complètes : numéro de passeport, date de naissance, adresse, numéro de carte bancaire. Ces données alimentent soit des bases revendues sur les marchés souterrains du dark web, soit des opérations de fraude à l'identité directes. La demande de FAN ID — processus d'identification obligatoire instauré par la FIFA pour les achats de billets — est particulièrement propice à ce type d'exploitation car elle habitue les supporters à soumettre des documents d'identité officiels en ligne.

Le FBI met également en garde contre les résultats sponsorisés dans les moteurs de recherche. Des acteurs malveillants paient pour que leurs domaines frauduleux apparaissent en position « Annonce » dans les résultats Google et Bing pour des requêtes comme « billets FIFA 2026 » ou « FIFA World Cup tickets ». Ces positions achetées renforcent artificiellement la crédibilité des sites et piègent des utilisateurs qui associent la visibilité dans les moteurs de recherche à une forme de légitimité. L'alerte IC3 recommande explicitement d'ignorer tous les résultats sponsorisés et d'accéder directement à fifa.com en tapant l'adresse dans la barre du navigateur.

Une menace complémentaire, signalée par Help Net Security, concerne la diffusion de malwares via de faux liens de téléchargement. Des sites frauduleux proposent des applications mobiles déguisées en outils officiels FIFA — plannings de matches, tracking de billets, guides des villes hôtes — qui s'avèrent être des infostealers ou des spywares. Ces applications, distribuées hors des stores officiels App Store et Google Play, collectent les identifiants stockés sur l'appareil, les contacts, et dans certains cas activent le microphone ou l'appareil photo. Les entreprises dont les collaborateurs utilisent des appareils à usage mixte professionnel/personnel doivent être particulièrement vigilantes à ce vecteur.

Interpol coordonne en parallèle, avec les autorités des trois pays hôtes, une opération préventive visant à identifier et suspendre les domaines frauduleux avant l'ouverture du tournoi. Selon les informations disponibles à fin mai 2026, plusieurs centaines de domaines ont déjà été suspendus depuis le lancement des opérations de ciblage en avril. Néanmoins, les opérateurs malveillants enregistrent de nouveaux domaines à un rythme soutenu qui dépasse les capacités de démantèlement des autorités, dans une dynamique classique de course-poursuite observée lors de chaque grand événement international.

Les événements sportifs mondiaux, terrain de jeu structurel des cybercriminels

L'exploitation d'événements sportifs mondiaux comme leurres pour des fraudes et des campagnes de phishing est un phénomène documenté depuis les Jeux Olympiques d'Athènes en 2004. Lors de la Coupe du Monde 2022 au Qatar, des analystes de Kaspersky et Group-IB avaient recensé plus de 400 domaines frauduleux enregistrés dans les semaines précédant le tournoi. Pour les Jeux Olympiques de Paris 2024, l'ANSSI avait émis des recommandations similaires face à une vague comparable. La Coupe du Monde 2026 s'annonce comme l'événement le plus ciblé de l'histoire du football : 48 équipes, 104 matches, 3 pays hôtes, et une audience mondiale estimée à plusieurs milliards de téléspectateurs génèrent une demande légitime massive, terrain idéal pour les fraudeurs.

Plusieurs facteurs spécifiques à cette édition amplifient la menace. L'étalement géographique sur trois pays crée une complexité administrative perçue par les supporters, qui se tournent vers des intermédiaires non officiels pour simplifier leurs démarches. La pénurie structurelle de billets pour les phases finales — une constante de toutes les Coupes du Monde — maintient une pression sur les marchés parallèles. Et la dimension multinationale complique considérablement les recours judiciaires pour les victimes de fraudes commises depuis des pays tiers sans convention d'extradition simplifiée avec les États hôtes.

Pour les entreprises, le risque ne se limite pas à la sphère personnelle des collaborateurs. Des salariés utilisant leurs messageries ou appareils professionnels pour des recherches liées à la Coupe du Monde sont susceptibles d'être victimes de phishing aux conséquences qui dépassent leur vie privée : des identifiants professionnels peuvent être collectés via des formulaires frauduleux intégrés dans le parcours d'achat de billets, ou des malwares téléchargés depuis des sites FIFA frauduleux peuvent infecter des appareils accédant simultanément au réseau d'entreprise. Cette technique — le credential harvesting contextuel — a été documentée dans des campagnes récentes analysées par Proofpoint, qui note que les événements à forte charge émotionnelle réduisent significativement la vigilance des victimes face aux signaux d'alerte habituels.

La CISA a publié conjointement avec ses homologues canadien et mexicain un avis de sécurité rappelant les risques pesant sur les infrastructures des 16 villes hôtes : systèmes de transport, billetterie de stades, réseaux de communication d'urgence. Ces infrastructures constituent des cibles potentielles pour des acteurs malveillants souhaitant perturber l'événement ou tester les capacités de réponse des autorités nord-américaines. Les équipes sécurité des opérateurs d'importance vitale dans les régions concernées — Atlanta, Dallas, Houston, Los Angeles, Miami, New York, Philadelphie, San Francisco, Seattle, Vancouver, Toronto, Guadalajara, Mexico City, Monterrey — doivent maintenir un niveau d'alerte renforcé durant toute la durée du tournoi.

Ce qu'il faut retenir

• Le FBI a identifié au moins 35 faux sites FIFA actifs avant la Coupe du Monde 2026, utilisant typosquatting et TLDs alternatifs pour voler données personnelles, bancaires et vendre de faux billets.
• Accédez exclusivement à fifa.com en tapant l'adresse directement dans votre navigateur ; ignorez tous les résultats sponsorisés dans les moteurs de recherche et n'installez jamais d'application FIFA hors des stores officiels.
• Les entreprises doivent sensibiliser leurs collaborateurs au risque de credential harvesting via des sites frauduleux FIFA, particulièrement sur les appareils à usage mixte professionnel/personnel.