Alors que la Coupe du Monde de la FIFA 2026™ aux États-Unis, au Canada et au Mexique approche, l’enthousiasme atteint des sommets. De nombreux supporters sont encore à la recherche de billets, de produits dérivés, de voyages ou d'hébergement, et ça, les escrocs l'ont bien compris.
Autrement dit, beaucoup de personnes se trouvent déjà dans l’état d’esprit recherché par les arnaqueurs : ces dernières sont à l’affût, impatientes et parfois même inquiètes à l’idée que les billets ou autres produits soient rapidement épuisés. Et c’est précisément ce qui rend ces arnaques aussi efficaces.
Les chercheurs d’ESET en Amérique latine ont récemment identifié plusieurs sites web conçus spécifiquement pour profiter de cette situation. Se faisant passer pour l’association FIFA ou pour le site officiel de la Coupe du Monde, ces faux sites web ciblent les personnes à la recherche de billets et de produits dérivés, puis les dirigent vers de faux processus d’inscription et de paiement destinés à voler leur argent et leurs données personnelles.
La série d’étapes est souvent quasiment identique à celle du véritable site de la Coupe du Monde : création d’un compte, ajout de billets de match, de maillots ou d’autres produits au panier, puis le paiement.
Certaines victimes arrivent sur ces sites via des résultats sponsorisés dans les moteurs de recherche, tandis que d’autres cliquent sur des publicités sur les réseaux sociaux ou sur des liens contenus dans des e-mails transférés par quelqu’un qui n’a pas vérifié correctement l’adresse du site.
Quel que soit le scénario auquel vous faites face, voici ce que vous devez retenir sur les faux sites liés à la FIFA et à la Coupe du Monde et comment éviter de marquer un « but contre votre propre camp ».
Démêler le vrai du faux
L’un des faux sites, hébergé à l’adresse https://***fifa26[.]shop, utilise un nom de domaine suffisamment proche de ceux de la FIFA et de la Coupe du Monde 2026 pour tromper un visiteur pressé.
En effet, de nombreux sites créés à l’approche de grands événements reposent sur une technique courante appelée typosquatting. Celle-ci consiste à utiliser un nom de domaine très similaire au site légitime, mais comportant de légères modifications ou ajouts que la victime ne remarque souvent pa
La tromperie ne s’arrête toutefois pas là. Le site copie également l’apparence et l’expérience utilisateur du site officiel de la FIFA, notamment les couleurs, la mise en page, la navigation et le processus de réservation des billets, le tout afin de convaincre la victime que l’expérience est authentique:
Et voici, à titre de comparaison, le site web légitime :
Mais revenons au faux site web : voici ce qui se passe lorsque vous essayez « d’acheter » des billets ou des produits dérivés.
Tout comme le site officiel de la FIFA, le site frauduleux vous demande également de créer un compte. Si vous êtes dans l’optique de créer un identifiant FIFA avant d’acheter des billets, un faux formulaire d’inscription peut ne pas paraître suspect au premier abord.
Le site demande des informations classiques telles que votre nom, votre adresse e-mail et votre numéro de téléphone. Rien de cela ne semble inhabituel si vous pensez être sur le site officiel de la FIFA:
La figure 5 montre quant à elle l’étape d’inscription sur le site officiel.
Le faux site propose également ce qui semble être des produits dérivés officiels.
L’objectif est de vous maintenir suffisamment longtemps dans un parcours d’achat familier pour que la page de paiement paraisse être l’étape suivante, parfaitement normale et attendue.
Il est possible de sélectionner n’importe quel produit et de l’ajouter au panier :
Une fois les informations de votre carte bancaire saisies, elles sont directement transmises aux personnes derrière le faux site. Et bien entendu, aucun maillot ne sera envoyé par la FIFA.
Le processus d’achat des billets fonctionne exactement de la même manière. Après l’inscription, le faux site vous permet de sélectionner des supposés matchs de la Coupe du Monde, de passer à l’étape de validation de la commande, puis d’accéder à une page de paiement.
Vous pouvez choisir le match souhaité, à n’importe quelle étape du tournoi :
Puis, le site mène l’utilisateur vers le panier d’achat. Une fois saisies dans le formulaire, vos informations de paiement sont directement transmises au cybercriminel à l’origine du faux site.
La perte la plus évidente est financière, mais les conséquences plus discrètes concernent les données bancaires et l’identité numérique.
Un nom complet, une adresse e-mail, un numéro de téléphone et un mot de passe réutilisé peuvent être exploités par des attaquants bien au-delà d’un simple site frauduleux.
Si le même mot de passe permet également d’accéder à votre messagerie ou à vos réseaux sociaux, cette fausse inscription liée à la FIFA peut devenir la première étape d’une autre attaque, potentiellement bien plus dommageable.
Quatre autres sites reposant sur le même principe
Un autre faux site, https://****26-fifa[.]com suit exactement le même schéma.
Le nom de domaine fait référence à la Coupe du Monde, le site reprend l’identité visuelle de la FIFA et le visiteur est poussé à s’inscrire avant de se voir proposer de prétendus billets et produits dérivés.
Les faux sites liés à la Coupe du Monde reprennent généralement l’apparence du site officiel jusque dans les moindres détails : onglets de navigation, menus et autres éléments visuels sont conçus pour ressembler le plus possible au site authentique.
Les extensions de domaine jouent également un rôle important. Une adresse en .shop ou .store peut donner l’impression qu’il s’agit d’une boutique officielle ou d’une déclinaison commerciale légitime, surtout lorsque l’URL contient le mot « fifa » et que l’ensemble du site paraît professionnel et soigné.
Nos conseils pour rester en sécurité
Point essentiel : la FIFA a clairement indiqué que les billets pour la Coupe du Monde ne peuvent être achetés que via trois canaux officiels :
-
les offres de voyage officielles de Qatar Airways (qui peuvent d’ailleurs déjà être épuisées).
Il est donc fortement recommandé d’éviter les vendeurs tiers, les petites annonces sur les réseaux sociaux ou tout autre site non officiel.
-
Rendez-vous directement sur le site officiel de la FIFA. Saisissez vous-même l’adresse dans votre navigateur ; autrement dit, partez de FIFA.com ou du portail officiel de billetterie de la FIFA, et non d’une publicité, d’une publication sur les réseaux sociaux ou d’un lien reçu d’une autre personne.
-
Vérifiez attentivement le nom de domaine avant de saisir la moindre information. Des caractères supplémentaires, des mots ajoutés, des extensions inhabituelles ou des adresses très proches de l’original peuvent être les seuls indices révélant que le site n’est pas légitime.
-
Méfiez-vous des offres jouant sur la pression et l’urgence : « billets limités », « accès VIP », « réductions », « dernière chance », ou tout message cherchant à vous pousser à agir rapidement et à vous faire croire qu’il n’y a pas le temps de vérifier.
-
Évitez de réutiliser vos mots de passe. Si une fausse page d’inscription vole un mot de passe que vous utilisez également pour votre messagerie, vos réseaux sociaux ou vos services bancaires, les conséquences peuvent aller bien au-delà du faux site.
-
Ne vous laissez pas rassurer par un processus de paiement apparemment fonctionnel. Un panier d’achat opérationnel et un formulaire de paiement ne prouvent pas qu’un vendeur est légitime.
-
Protégez tous vos comptes avec des mots de passe forts et uniques, activez l’authentification à deux facteurs et utilisez des logiciels de sécurité sur tous vos appareils.
Le compte à rebours avant la Coupe du Monde offre aux cybercriminels une audience idéale : des milliers de personnes à la recherche de billets, de produits dérivés et d’opportunités de dernière minute.
Les faux sites liés à la FIFA montrent comment cette forte demande est exploitée pour alimenter des campagnes de phishing, et vous voilà à un clic d’une arnaque.
Restez vigilants !
