La Coupe du Monde de football 2026 ne commence que le 11 juin 2026, mais les cybercriminels se sont déjà mis à exploiter l’événement dans le cadre de leurs activités. Les chercheurs de Group-IB, l’un des spécialistes mondiaux de la cybersécurité, ont découvert une montagne de sites imitant le site officiel fifa.com. C’est par le biais du site de la Fédération Internationale de Football Association que les supporters peuvent acheter des billets pour les rencontres sportives.
Three shared #MetaPixel IDs are embedded identically across all 300+ GHOST STADIUM domains, confirming the same adversary is actively paying #Facebook to promote phishing pages through paid ads. This exploitation of Meta’s advertising platform as the primary traffic acquisition… pic.twitter.com/zmRQbO0WeE
— Group-IB Global (@GroupIB) May 27, 2026
À lire aussi : Tous les utilisateurs de ce VPN pirate ont été identifiés par la police
Des milliers de faux sites web inondent Internet
Plus de 4 300 domaines frauduleux ont été débusqués par les chercheurs durant leurs investigations. Tous ces domaines ont été enregistrés après le mois d’août 2025. On y trouve une copie quasi parfaite du site officiel, avec une page de connexion, l’identité visuelle, les logos, et même un widget Google Traduction pour inspirer confiance aux internautes. Les sites sont déclinés en 11 langues différentes. C’est la preuve qu’il s’agit d’une campagne mondiale.
Le mode opératoire est classique, mais redoutablement efficace. Concrètement, lorsqu’une victime arrive sur l’un de ces faux sites, elle est accueillie par une fenêtre pop-up urgente. Celle-ci met en avant des offres de billets à des prix ridiculement bas. Par exemple, des places officiellement vendues à plusieurs milliers d’euros sont proposées pour la modique somme de 60 euros. Pour pousser les internautes à acheter sans réfléchir, les pirates affichent un compte à rebours, laissant penser que le nombre de places restantes est limité.
« Les grands événements sportifs attirent la fraude comme un aimant. Une demande énorme, un nombre limité de billets et la crainte de rater le match de son pays poussent les fans à agir rapidement. Les escrocs le savent », nous explique Yuan Huang, responsable mondial du renseignement sur la fraude chez Group-IB.
Des pubs sur Facebook comme point de départ
Pour réaliser l’achat, la victime entre ses identifiants FIFA. Avec les identifiants collectés, les pirates peuvent se connecter au compte et dérober d’éventuels véritables billets, déjà achetés par la victime. Ensuite, la cible est redirigée vers un faux formulaire de paiement qui récolte le nom, l’adresse, le numéro de téléphone, et les données bancaires.
Pour propager les sites frauduleux, les cybercriminels ont diffusé une montagne de publicités sponsorisées sur Facebook. Les chercheurs de Group-IB ont remarqué qu’un même annonceur était à l’origine des publicités. Les arnaques sont également distribuées sur Telegram et sur WhatsApp. Certains de ces faux sites apparaissent même dans les résultats de recherche de Google. Ils sont parvenus à se glisser dans les vrais résultats de Google pour des requêtes liées à la FIFA, aux côtés du site officiel.
À lire aussi : Plus d’un an de cyberattaques – Glassworm, le botnet russe quasi indestructible, a été neutralisé par CrowdStrike et Google
Une opération signée « GHOST STADIUM »
Derrière cette opération d’envergure, on trouve un groupe chinois, baptisé « GHOST STADIUM » par les chercheurs de Group-IB, et qui est à l’origine d’un kit de phishing du même nom. Néanmoins, GHOST STADIUM n’est que la partie émergée de l’iceberg. Group-IB a en fait identifié quatre groupes criminels distincts opérant simultanément et visant les internautes intéressés par la Coupe du Monde de football. Ces groupuscules criminels ont surtout mis en ligne des sites de faux billets. Le rapport épingle des sites qui ont pu faire plus de 47 400 victimes, pour des pertes estimées entre 71 et 474 millions de dollars. Les pertes « totales de la campagne, tous niveaux confondus, pourraient atteindre les milliards », indique Group-IB.
Vol de données et kits criminels
Les investigations ont aussi décelé de fausses plateformes de streaming, qui promettent un accès gratuit ou payant aux matchs en direct, des boutiques de merchandising contrefait, ou encore des sites de paris frauduleux. Ces sites ont abouti à une collecte massive de données personnelles. Selon Group-IB, environ 130 000 fichiers de données volées contenant des références FIFA ont été identifiés. Par ailleurs, plus de 2 513 paires d’identifiants FIFA sont déjà en vente sur des marchés du dark web, entre 5 et 50 dollars l’unité.
En amont de la découverte de toutes ces opérations criminelles, les chercheurs ont identifié des kits de phishing tout prêts, des bots automatisés pour l’achat de billets, et des templates d’e-mails frauduleux sur des forums clandestins. Ces outils criminels ont été mis en vente par une entité qui se fait appeler « Dark Web Kit Seller ». N’importe qui peut ainsi lancer sa propre arnaque FIFA sans aucune compétence technique.
« Les paramètres de la page de phishing incluent la réinitialisation du mot de passe, ce qui permet à l’attaquant de verrouiller immédiatement les comptes des utilisateurs légitimes après avoir volé leurs identifiants », explique le chercheur de Group-IB.
À lire aussi : Google a divulgué une faille de sécurité par erreur, votre navigateur est sûrement en danger
La mise en garde du FBI
En miroir de Group-IB, le FBI a épinglé une multitude de domaines criminels cherchant à profiter de l’engouement autour de la Coupe du Monde de football 2026. La police fédérale américaine précise de nouveaux domaines frauduleux continueront d’apparaître jusqu’à la fin du tournoi le 19 juillet 2026, et probablement au-delà. Le FBI invite donc les internautes à faire preuve de la plus grande prudence.
Le rapport de Group-IB ajoute que « quand un site de phishing est mis hors ligne, des centaines d’autres restent opérationnels et des milliers sont en attente d’activation ». Il faut s’attendre à un « pic durant la fenêtre de matchs du 11 juin au 19 juillet ».
« Pour les consommateurs, l’approche la plus sûre consiste à partir du principe que toute offre de billets en dehors des canaux officiels comporte un risque. Vérifiez toujours attentivement les adresses web, évitez de cliquer sur les publicités sur les réseaux sociaux et ne vous précipitez jamais pour acheter sous prétexte d’offres « à durée limitée ». Si une offre semble trop belle pour être vraie, c’est presque certainement le cas », déclare Yuan Huang.
Le FBI recommande aux internautes de saisir directement « fifa.com » dans la barre d’adresse de leur navigateur, de ne jamais cliquer sur des résultats sponsorisés dans les moteurs de recherche, et de ne jamais fournir d’informations personnelles ou bancaires sur un site dont l’authenticité n’a pas été vérifiée en amont. Par ailleurs, il est fortement conseillé d’activer la double authentification sur son compte FIFA, pour éviter les intrusions provenant de pirates ayant volé vos identifiants.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
