Un rapport avertit sur l'élargissement de l'espace de cyberattaque autour de la Coupe du Monde 2026

SadaNews - À l'approche du lancement de la Coupe du Monde de football 2026, les risques entourant le tournoi ne se limitent plus à la sécurité des stades ou à la gestion des foules. Un nouveau rapport de l'unité « Unit 42 » de Palo Alto Networks estime que le plus grand événement sportif au monde pourrait également devenir l'une des plus vastes zones de cyberattaques, non seulement en raison du nombre de matches et de spectateurs, mais parce que chaque match reposera sur un réseau complexe de systèmes temporaires et permanents, de services municipaux et de chaînes d'approvisionnement numériques.

Un tournoi d'une ampleur sans précédent

La version 2026 se déroulera sur 39 jours, du 11 juin au 19 juillet, dans 16 villes de 3 pays : les États-Unis, le Canada et le Mexique. Le tournoi réunira 48 équipes et 104 matches, avec une prévision de 5 à 6 millions de supporters dans les stades, en plus d'une audience mondiale qui approchera la moitié de la population mondiale. Le rapport indique que cette édition sera la première à être organisée conjointement par 3 pays, ce qui signifie une multiplicité d'organismes régulateurs, de langues, d'infrastructures et de systèmes locaux associés à l'événement.

Le rapport souligne que le danger ne réside pas seulement dans les stades ; chaque match sera géré via un « réseau temporaire à maillons multiples » ajouté à des environnements déjà existants dans des stades habituellement utilisés pour des ligues comme la « NFL », la « MLS », la « CFL » et la « Liga MX ». Ce réseau ne fonctionne pas isolément de la ville, mais repose sur des services de transport public, des feux de signalisation, l'eau, l'assainissement, l'énergie, les aéroports et les services d'urgence.

D'après le rapport, chaque point de ces infrastructures peut entrer dans le champ d'intérêt des adversaires cybernétiques.

Trois moteurs de risques

« Unit 42 » identifie trois moteurs principaux de risques. Le premier est lié à l'activité cybernétique attribuée à des acteurs liés à l'Iran ; particulièrement après la montée des tensions régionales en 2026, suivie de campagnes visant des infrastructures américaines vulnérables sur Internet, y compris des systèmes de contrôle industriel dans les secteurs de l'eau, de l'énergie et des services municipaux. Le second est lié au piratage avec un arrière-plan russe ; le rapport indique que le groupe « NoName057(16) » a réalisé plus de 3700 attaques par déni de service distribuées documentées contre des gouvernements et des secteurs vitaux dans des pays membres de l'OTAN depuis 2022. Le troisième est la cybercriminalité à motivations financières, allant de la fraude aux billets aux attaques par ransomware contre le secteur de l'hôtellerie.

Les chiffres historiques donnent plus de contexte à ces inquiétudes ; lors de la Coupe du Monde 2022 au Qatar, « Group-IB » a détecté plus de 16 000 domaines frauduleux, plus de 40 applications contrefaites, et plus de 50 comptes faux sur les réseaux sociaux, en plus de 90 comptes piratés sur la plateforme « Hayya » dédiée aux supporters. Lors des Jeux Olympiques de Paris 2024, l'agence française de la cybersécurité a confirmé plus de 140 incidents cybersécuritaires, dont 22 violations de sécurité réussies, ainsi qu'une attaque par ransomware contre le site du « Grand Palais », et environ 40 musées.

Bien que la compétition n'ait pas été perturbée, le rapport attribue cela à une préparation qui a commencé des années auparavant, incluant des entraînements liés à environ 500 installations connectées aux jeux.

Les supporters comme cible directe

Pour les supporters, la cybercriminalité est le risque le plus élevé en termes de volume et de probabilité. Le rapport souligne cinq catégories principales de fraude liées aux billets, incluant des sites de revente contrefaits, des comptes faux sur les réseaux sociaux, des messages de phishing via des concours ou des récompenses, des applications contrefaites dans les magasins d'applications officiels, et des attaques de stuffing d'identifiants contre les portails des supporters.

Il souligne également d'autres risques concernant l'hébergement et l'hôtellerie, les clés numériques des hôtels, les points de vente, et des fraudes liées aux codes QR pour les transports, le stationnement et les permis de circulation.

Une chaîne d'approvisionnement complexe

La surface d'attaque s'élargit en raison de la nature multiville du tournoi ; chaque ville hôte contractera indépendamment des fournisseurs pour l'exploitation des stades, la sécurité, le transport, l'hébergement, les services de restauration, la signalétique, les zones de supporters et les réseaux de communication locaux.

Le rapport rappelle l'attaque « Olympic Destroyer » à Pyeongchang (2018) ; où les systèmes « Wi-Fi », le site officiel, les billets et les drones de diffusion ont été touchés, et plus de 300 systèmes ont été piratés avant que le service ne soit rétabli après 12 heures. Ce rapport utilise ce précédent pour avertir que les fournisseurs pourraient devenir une porte d'entrée pour l'attaque avant que la cible elle-même ne soit atteinte.

Circuits numériques interconnectés

Le rapport divise l'infrastructure numérique du tournoi en circuits multiples, chacun ayant des risques différents ; le circuit du jeu, de l'arbitrage et de la technologie vidéo pourrait faire face à des risques portant atteinte à l'intégrité de la compétition ou à la diffusion à un moment crucial. Le circuit d'exploitation du stade pourrait inclure l'entrée, la validation des billets, les écrans, les annonces publiques, le « Wi-Fi » et les accréditations. Le circuit de gestion du tournoi inclut les calendriers, les résultats, les statistiques et la diffusion. Le circuit commercial comprend les systèmes d'hospitalité, de paiements et de fidélité, tandis que le circuit destiné aux supporters englobe les applications « Vega », les billets, la diffusion et les comptes numériques. En plus de tout cela, les services de la ville hôte, tels que le transport, l'énergie, l'eau et les aéroports, font partie des risques liés à l'événement.

Scénarios plus sensibles

Le rapport n'exclut pas des scénarios plus sensibles, tels que le sabotage des systèmes opérationnels dans une installation municipale avant un match important, ou une attaque par ransomware contre une grande chaîne hôtelière durant la dernière semaine du tournoi, pouvant affecter l'accès aux chambres, l'enregistrement par téléphone et les points de vente pendant une période de 48 à 72 heures. Le rapport recommande des entraînements préalables avec les hôtels, des protocoles de vérification clairs pour les bureaux de support technique, et des plans opérationnels hors ligne pour les systèmes de gestion des propriétés.

La Coupe du Monde 2026 ne sera pas seulement un test sportif et logistique, mais aussi un test d'une infrastructure numérique interconnectée entre les stades, les villes, les fournisseurs et les supporters. La menace d'attaques potentielles ne vise plus un seul site ou une seule application, mais un écosystème complet comprenant les billets, l'identité, l'hospitalité, le transport, les paiements et l'infrastructure opérationnelle. Dans un événement de cette ampleur, la préparation ne se mesure pas seulement à la capacité des organisateurs à prévenir une attaque, mais à leur capacité à contenir rapidement celle-ci et à éviter qu'elle ne se transforme en perturbation affectant l'expérience des supporters, la sécurité des opérations ou la confiance du public.