Proofpoint, Inc., acteur majeur de la cybersécurité et de la conformité, dévoile aujourd'hui les résultats d'une étude montrant que plus d'un tiers (36 %) des sponsors, fournisseurs, partenaires et supporters officiels associés à la Coupe du Monde de la FIFA 2026, qui se déroulera du 11 juin au 19 juillet 2026, ne disposent pas des mesures de sécurité email nécessaires pour se protéger contre l'usurpation de nom de domaine. Cette situation peut exposer les supporters, clients et partenaires à un risque accru de fraude par email usurpant l'identité de marques de confiance.

Les cybercriminels cherchent régulièrement à tirer parti des grands événements sportifs mondiaux en ciblant les supporters par des arnaques d'ingénierie sociale se faisant passer pour des sponsors, des compagnies aériennes, des marques d'hôtellerie, des services de livraison ou des marques grand public, en utilisant des domaines similaires et des emails falsifiés. Dans le contexte d'un tournoi qui génère une augmentation massive de l'intérêt pour les voyages, la billetterie, les promotions et les produits dérivés, l'écosystème élargi doit être renforcé contre les menaces véhiculées par email, principal vecteur d'attaque pour la fraude.

Pour établir l'état actuel des défenses contre le risque d'usurpation d'identité, Proofpoint a analysé le niveau d'adoption du protocole DMARC (Domain-based Message Authentication, Reporting and Conformance) sur une liste de noms de domaine des sponsors de la Coupe du Monde.

DMARC, première ligne de défense contre la fraude par email

Ces dernières années, Proofpoint a observé que les cybercriminels utilisent diverses tactiques pour usurper l'identité d'organisations légitimes afin d'atteindre leur cible, plutôt que de pirater et infiltrer les réseaux et infrastructures techniques de leurs victimes.

DMARC est un protocole d'authentification des emails conçu pour protéger les noms de domaine contre une utilisation abusive par les cybercriminels. Il authentifie l'identité de l'expéditeur avant de permettre à un message d'atteindre sa destination. DMARC comporte trois niveaux de protection : surveillance, quarantaine et rejet, le rejet étant le moyen le plus sûr d'empêcher les messages suspects d'atteindre la boîte de réception.

La mise en œuvre de DMARC permet à une organisation de définir quel traitement doit être appliqué aux emails utilisant son nom de domaine, ainsi que la politique à appliquer en cas d'échec lors de la vérification : accepter l'email (p=none, où p signifie policy), le classer comme spam (p=quarantine) ou le supprimer (p=reject).

Principaux résultats de l'étude :

Les noms de domaine constituant l'écosystème des sponsors, partenaires, fournisseurs et supporters de la Coupe du Monde de la FIFA 2026 ont été analysés, avec les résultats suivants :

• Sur les 25 domaines analysés, 24 (96 %) ont publié un enregistrement DMARC à un niveau de base, ce qui indique que la plupart des organisations ont commencé à mettre en place des protections contre l'usurpation de nom de domaine email.
• Cependant, seuls 16 des 25 domaines (64 %) protègent activement leur nom de domaine avec la politique DMARC « reject » la plus stricte, le paramètre qui empêche la livraison d'emails falsifiés non authentifiés.
• Cela signifie que plus d'un tiers (36 %) ne bloquent pas encore de manière proactive les emails frauduleux qui tentent d'usurper l'identité de leur marque.
• Huit domaines (32 %) ont configuré DMARC en mode surveillance ou avec une posture d'application partielle, ce qui offre une visibilité mais n'empêche pas les emails falsifiés d'atteindre les boîtes de réception.

Loïc Guézo, directeur de la stratégie cybersécurité chez Proofpoint, a déclaré : « Les événements majeurs comme la Coupe du Monde de la FIFA génèrent naturellement un énorme engouement, qu'il s'agisse de projets de voyage, d'achats de billets, d'offres spéciales ou de produits dérivés. Malheureusement, cela crée également des opportunités pour les fraudeurs de profiter des supporters. Bien qu'il soit encourageant de constater que de nombreuses marques partenaires ont pris des mesures pour améliorer leur sécurité email, trop nombreuses sont celles qui laissent encore la porte ouverte aux messages frauduleux. Sans protections plus robustes en place, il devient plus facile pour les criminels d'usurper l'identité de marques de confiance et de tromper les gens pour qu'ils partagent des informations personnelles ou effectuent des paiements pour de fausses offres. »

Les supporters doivent être particulièrement vigilants dans la période précédant le tournoi et garder à l'esprit les recommandations suivantes :

• Le moyen le plus sûr d'acheter des billets est de passer directement par la FIFA, qui applique une politique DMARC stricte de « reject ».
• Méfiez-vous des emails, SMS ou appels non sollicités, en particulier ceux qui exigent une action urgente ou un paiement immédiat.
• Ne partagez jamais d'informations financières ou de mots de passe par email ou SMS. En cas de doute, contactez l'organisation en utilisant les canaux officiels.
• Utilisez un mot de passe unique pour chaque compte et activez l'authentification multifactorielle (MFA) lorsque cela est possible.

Pour en savoir plus sur DMARC, consultez : https://www.proofpoint.com/fr/threat-reference/dmarc

Méthodologie :

Pour évaluer le niveau d'adoption de DMARC parmi les sponsors officiels de la Coupe du Monde de la FIFA 2026, Proofpoint a réalisé une analyse des domaines d'entreprise principaux de chaque organisation répertoriée sur le site Web de la FIFA, ainsi que sur Sports Business Journal. L'analyse a été effectuée en février 2026.

À propos de Proofpoint, Inc.  

Proofpoint, Inc. est un leader mondial de la cybersécurité centré sur l’humain et l'IA agentique, pour sécuriser les interactions entre humain, données et agents IA sur les plateformes de messagerie et de collaboration. Plus de 80 entreprises du classement Fortune 100, et des millions de grandes et petites entreprises font confiance à Proofpoint pour stopper les menaces, prévenir la perte de données, et renforcer la résilience des personnes et des flux de travail IA. Proofpoint offre aux organisations la plateforme de collaboration et de sécurité des données dont elles ont besoin pour protéger et autonomiser leurs employés tout en adoptant l'IA de manière sécurisée et productive. Pour en savoir plus : http://www.proofpoint.com/fr. 

Connectez-vous avec Proofpoint sur LinkedIn 

Proofpoint est une marque déposée ou un nom commercial de Proofpoint, Inc. aux États-Unis et/ou dans d’autres pays. Toutes les autres marques mentionnées sont la propriété de leurs détenteurs respectifs.