Les chercheurs en sécurité et le **FBI** avertissent qu'une vague de fraudes sur le thème de la **FIFA** frappe déjà les fans de la Coupe du Monde 2026, quelques jours avant le coup d'envoi du 11 juin. De récents rapports décrivent des milliers de domaines **FIFA** ressemblant à l'original, des malwares bancaires cachés dans des applications de streaming pirate, et au moins une opération qui copie la page de connexion de la **FIFA** suffisamment bien pour prendre le contrôle de vrais comptes. C'est une cible évidente. Plus de six millions de fans sont attendus dans 16 villes des États-Unis, du Canada et du Mexique, et la **FIFA** a déclaré avoir reçu plus de 150 millions de demandes de billets au cours des 15 premiers jours, laissant le tournoi sur-souscrit environ 30 fois. Les billets sont rares, les fans sont anxieux, et l'argent circule rapidement – précisément les conditions que les fraudeurs exploitent.  ## Un opérateur, 300 sites FIFA clonés Les découvertes les plus détaillées proviennent de **Group-IB**, qui a suivi plus de 4 300 domaines **FIFA** frauduleux enregistrés depuis août 2025. Au centre se trouve un groupe qu'elle appelle **GHOST STADIUM**, une opération anglophone motivée par l'argent, qui utilise un kit de phishing sur plus de 300 de ces sites. La contrefaçon est très sophistiquée. La page est une copie quasi parfaite de fifa.com, imitant la véritable connexion unique **FIFA** (single sign-on), gérée par **PingIdentity**, jusqu'à l'identifiant client authentique copié du site réel. Elle charge ses images directement depuis les serveurs de la **FIFA**, rendant la page authentique et lui permettant de passer outre les outils qui signalent les images copiées. Crucialement, la fausse page de connexion invite également les utilisateurs à réinitialiser leur mot de passe. Une fois qu'une victime saisit ses informations, l'attaquant peut la bloquer hors de son propre compte **FIFA** et revendre les billets qui y sont liés.  La majeure partie du trafic provient de publicités Facebook, avec les mêmes codes de suivi réutilisés sur l'ensemble du cluster, ainsi que des liens sur Telegram, WhatsApp et dans les résultats de recherche. Le site accepte les paiements de cinq manières différentes : saisie directe de carte, passerelles de paiement externes, applications de transfert d'argent comme Chime et Nequi, processeurs spécifiques au Mexique, et une option de cryptomonnaie qui convertit un paiement par carte en crypto, beaucoup plus difficile à récupérer. Cette dernière option est un indice utile, car la billetterie officielle de la **FIFA** n'accepte jamais de cryptomonnaie. Tout vendeur qui en demande est une escroquerie. **Group-IB** estime les pertes potentielles liées uniquement à la fraude sur les billets premium et d'hospitalité entre 71 millions et 474 millions de dollars, suggérant que la campagne entière pourrait s'élever à des milliards. Ce sont des estimations basées sur l'infrastructure observée, pas des pertes confirmées. ## Au-delà du Phishing : Un déluge d'escroqueries Le paysage des menaces s'étend au-delà des découvertes de **Group-IB**. **FortiGuard Labs** a comptabilisé plus de 13 000 domaines sur le thème de la Coupe du Monde enregistrés entre janvier et mai, avec environ 8,8 % identifiés comme malveillants ou suspects. L'avis du **FBI** liste des dizaines de faux domaines **FIFA**, allant de sosies mal orthographiés à de fausses pages d'emploi **FIFA**, et avertit que d'autres émergent. D'autres chercheurs ont cartographié des milliers de sites sosies supplémentaires et plus d'un millier de faux comptes sociaux. La fraude aux billets n'est qu'une facette du problème. **Group-IB** a également découvert des boutiques de produits contrefaits, des sites de streaming bidons qui facturent un abonnement puis installent des malwares, et de faux sites de paris qui collectent des scans de passeports et des selfies pour le vol d'identité. **Bitdefender** a suivi séparément des e-mails de loterie **FIFA** promettant des gains allant jusqu'à 2 millions de dollars. **Group-IB** a également signalé un marché de « phishing-as-a-service » qui vend des kits d'escroquerie prêts à l'emploi et des bots d'achat de billets, rendant les démantèlements d'opérateurs individuels largement inefficaces.  Les pièces s'assemblent : les faux domaines capturent les recherches de billets, les publicités et les résultats de recherche génèrent du trafic, les dumps de mots de passe volés alimentent les prises de contrôle de comptes, et les applications chargées latéralement transforment la chasse aux flux en fraude bancaire. ## Malware bancaire caché dans les applications de streaming Pour les fans à la recherche de flux de matchs gratuits, le plus grand danger réside souvent sur leurs appareils mobiles. **ThreatFabric** a observé une augmentation des applications de streaming non officielles malveillantes, dont beaucoup usurpent l'identité du populaire RojaDirecta, autour de la récente finale de la Ligue des Champions. Ils anticipent une répétition à plus grande échelle pendant la Coupe du Monde. **Kaspersky** a lié ces mêmes applications à des chevaux de Troie bancaires Android, des malwares conçus pour drainer l'argent des applications bancaires et de cryptomonnaies. Ils ont identifié deux familles proéminentes : **Massiv** et **Perseus**. Ces applications ne sont pas disponibles sur Google Play, ce qui signifie que leur installation nécessite aux utilisateurs de contourner les avertissements de sécurité standards. Une fois installés, les malwares exploitent les outils d'accessibilité d'Android pour prendre le contrôle du téléphone. Ils peuvent superposer de fausses pages de connexion bancaire sur des applications légitimes, enregistrer les frappes au clavier, intercepter les mots de passe à usage unique (OTP) des messages texte et des applications d'authentification, et contrôler l'écran à distance.  **Perseus**, notamment construit sur le code divulgué d'un ancien Trojan appelé **Cerberus**, lit même les applications de prise de notes pour y trouver des mots de passe enregistrés et des phrases de récupération de cryptomonnaies. Le signal d'alarme le plus simple, selon **ThreatFabric**, est une application de streaming demandant un accès d'accessibilité, pour lequel elle n'a aucune raison légitime. ## Ingénierie sociale, identifiants volés et risques du Wi-Fi public Les plateformes de médias sociaux sont également encombrées d'escroqueries. **Bitdefender** a trouvé plus de 55 campagnes publicitaires sur le thème du football sur Facebook et Instagram, promouvant des kits contrefaits, de fausses vignettes Panini et des pages de phishing. Deux des opérations de marchandises ont été retracées jusqu'à des opérateurs chinois via leurs balises de suivi publicitaire. **Fortinet** a comptabilisé plus de 1 700 comptes **FIFA** usurpés, dont près de 90 % trouvés sur Facebook et Instagram, ainsi qu'un schéma qui utilisait de fausses publicités d'emploi **FIFA** et des invitations de calendrier pour diriger les candidats vers une page de connexion Google sosie.  Des identifiants **FIFA** volés circulent déjà. **Fortinet** a découvert des centaines de milliers d'identifiants d'utilisateurs, ainsi que plus de 4 600 adresses web **FIFA**, dans des données collectées par des malwares voleurs d'identifiants comme **Vidar**, **LummaC2**, et **RedLine**. Les réseaux Wi-Fi des villes hôtes posent leurs propres problèmes. Le Wi-Fi public, en particulier les réseaux non sécurisés, peut être facilement exploité par des attaquants pour intercepter des données, distribuer des malwares ou mener des attaques de l'homme du milieu (man-in-the-middle). Les utilisateurs doivent faire preuve d'une extrême prudence et envisager d'utiliser un VPN lors de la connexion à des réseaux publics.