Comment protéger vos comptes pendant la Coupe du Monde

La Coupe du Monde 2026 se déroulera dans plusieurs villes hôtes et attirera des foules immenses venues du monde entier. Environ 6,5 millions de fans devraient franchir les portes des stades, tandis que beaucoup d’autres réserveront leurs voyages, chercheront des billets en revente et actualiseront l’appli de la Coupe du Monde depuis le Wi-Fi de leur hôtel.

Si vous réservez des vols, achetez des billets ou vous connectez à vos comptes pendant vos déplacements, vous êtes probablement plus exposé que d’habitude aux arnaques. Vous pouvez utiliser des réseaux inconnus, prendre des décisions rapidement ou subir une pression liée au temps, autant de situations qui rendent les signes d’alerte plus faciles à manquer.

Ce guide présente les risques les plus courants ainsi que les étapes simples que vous pouvez suivre pour protéger vos comptes en ligne.

Menaces en ligne à surveiller

Les grands événements comme la Coupe du Monde augmentent les risques d’arnaques en raison de la forte demande, de l’urgence et des foules de personnes peu familières avec leur environnement. Voici les arnaques auxquelles vous avez le plus de chances d’être confronté pendant la Coupe du Monde.

Faux sites de billets et annonces spéculatives

Les plateformes de revente affichent souvent des places pour la Coupe du Monde à des milliers de dollars, parfois avant même que les billets officiels existent. Certaines sont des annonces spéculatives (le vendeur parie qu’il trouvera un billet plus tard). D’autres sont simplement frauduleuses.

Quelques règles à garder à l’esprit:

• Les seules sources autorisées sont les plateformes officielles de billetterie.
• Les seuls marchés secondaires autorisés sont les plateformes officielles de revente et d’échange.
• Il n’y aura aucun billet PDF en 2026. Tous les billets seront numériques et distribués via l’appli officielle de la Coupe du Monde. Si quelqu’un vous propose un PDF ou une impression papier, c’est un faux.
• Les billets achetés en dehors des canaux autorisés peuvent être annulés à tout moment sans préavis. Ainsi, même un billet “authentique” acheté sur Facebook Marketplace peut être invalidé avant même d’atteindre les guichets d’entrée.

Pour en savoir plus : Comment éviter les arnaques aux billets de la Coupe du Monde

Sites copiés pour hôtels, vols et visas

Même si les arnaques aux billets font souvent la une, les fraudes liées à l’hébergement représentent aussi un problème. Les fraudeurs peuvent copier des réservations de voyage, créer de fausses offres d’hébergement dans des villes où l’offre est limitée, ou lancer des publicités payantes apparaissant dans les résultats de recherche à côté de sites légitimes.

Les signes à surveiller :

• Des prix nettement inférieurs au marché. Le mot clé étant “inférieurs”, pas “bon marché”.
• Des hôtes qui poussent à payer en dehors de la plateforme : “Contactez-moi directement sur WhatsApp pour obtenir 20 % de réduction.”
• Des annonces toutes récentes avec très peu d’avis, ou des photos issues de banques d’images retrouvables via une recherche inversée.
• Des noms de domaine légèrement mal orthographiés ou de petites variations par rapport aux vrais.

Certains sites vont encore plus loin et agissent comme de fausses pages de connexion, invitant les utilisateurs à saisir leur e-mail et leur mot de passe. Ces informations peuvent ensuite être utilisées pour le vol d’identité ou la fraude financière.

Les supporters internationaux se rendant aux États-Unis doivent également connaître les arnaques liées au système ESTA (Electronic System for Travel Authorization). Les sites tiers qui proposent de traiter votre ESTA contre des frais ne sont pas des services gouvernementaux officiels. Vous devez faire votre demande directement sur esta.cbp.dhs.gov/.

Messages de phishing

Une fois votre voyage réservé ou vos billets achetés, vous pouvez devenir une cible plus attrayante pour les tentatives de phishing. Les messages de phishing peuvent prétendre provenir des organisateurs de la Coupe du Monde, de compagnies aériennes, d’hôtels, de banques ou de services de livraison, et tenter de vous pousser à cliquer sur un lien sans réfléchir.

Exemples courants :

• " Votre billet est en danger. Confirmez votre compte dans les 24 heures."
• " Modification d’itinéraire : consultez votre réservation ici."
• " Vous avez gagné un tirage au sort pour un billet de la finale."
• " Votre livraison est bloquée à la douane ; payez 4,99 $ pour la débloquer."

Si un message crée un sentiment d’urgence et contient un lien, considérez-le comme un signal d’alerte. Cliquer sur le lien peut vous rediriger vers un faux site ou installer un malware.

Wi-Fi public et faux hotspots

Le Wi-Fi public dans les aéroports, hôtels et stades est pratique et souvent sûr pour une navigation basique. Dans de nombreux cas, le vrai risque n’est pas le réseau officiel, mais le faux réseau portant un nom similaire.

Par exemple, vous pourriez voir deux réseaux à l’aéroport : Airport_Free et Airport_Free_WiFi. L’un est authentique ; l’autre est contrôlé par un attaquant. Cela s’appelle une attaque du faux jumeau. Si l’utilisateur se connecte au faux réseau, l’attaquant peut potentiellement surveiller le trafic non chiffré ou rediriger l’utilisateur vers de faux sites web.

Même lorsque les réseaux sont légitimes, ils sont partagés entre de nombreux utilisateurs. Sur des réseaux mal sécurisés, cela peut augmenter les risques d’interception ou d’espionnage.

Pour en savoir plus : Le guide complet de sécurité Wi-Fi pour la Coupe du Monde

Codes QR dangereux

Les QR codes sont partout, ce qui les rend faciles à exploiter. Appelé QR phishing (ou quishing), ce type d’attaque consiste à placer des autocollants sur de vrais codes QR présents sur des menus de restaurants, horodateurs ou bornes de recharge pour véhicules électriques. Les visiteurs les scannent en pensant accéder à un site de paiement. À la place, ils arrivent sur une fausse page de connexion ou téléchargent un fichier malveillant.

Arnaques au SIM swap

Une arnaque au SIM swap consiste à convaincre un opérateur mobile de transférer votre numéro vers une carte SIM ou une eSIM contrôlée par l’attaquant. Une fois le numéro récupéré, il peut potentiellement recevoir les mots de passe à usage unique envoyés par SMS (OTP) ou les codes de récupération de compte.

Avant de partir pour la Coupe du Monde

Une grande partie du travail se fait ici. Un peu de préparation peut faire une énorme différence.

Utilisez des mots de passe forts et uniques

Si vous réutilisez les mêmes mots de passe sur plusieurs sites, un seul mot de passe compromis pourrait donner accès à tous ces comptes. Utilisez des mots de passe uniques et robustes pour chacun de vos comptes en ligne. Visez au moins 12 caractères, avec un mélange de lettres, chiffres et symboles, ou utilisez une phrase secrète : une suite mémorable de mots sans lien comme piano-violet-radis-falaise.

Un gestionnaire de mots de passe comme ExpressKeys peut générer et stocker ces mots de passe pour chaque compte et les remplir automatiquement afin que vous n’ayez rien à saisir. Prenez le temps d’ajouter vos identifiants d’e-mail, de banque, de l’appli de la Coupe du Monde, des compagnies aériennes et des hôtels, puis laissez-le générer de nouveaux mots de passe pour les comptes où vous les avez réutilisés.

Activez l’authentification à deux facteurs

Activez l’authentification à deux facteurs (2FA) sur les comptes importants comme la banque, l’e-mail et les réseaux sociaux. Cela ajoute une seconde étape de vérification, rendant l’accès aux comptes plus difficile même si un attaquant possède le mot de passe.

La 2FA par SMS vaut mieux que rien, mais les applis d’authentification ou les clés matérielles sont généralement plus sécurisées et ne nécessitent pas de connexion cellulaire pour recevoir un code. Si vous ne le faites que pour un seul compte, faites-le pour protéger votre e-mail. L’e-mail est la clé maîtresse : toute personne y ayant accès peut cliquer sur “mot de passe oublié” sur tous les autres services que vous utilisez.

Astuce : ExpressKeys peut générer des codes 2FA, ce qui vous permet de conserver vos mots de passe et codes d’authentification au même endroit.

Mettez à jour votre téléphone, navigateur et applis

Avant de partir, installez les mises à jour en attente. Les mises à jour corrigent des failles de sécurité connues que les attaquants exploitent pour accéder à votre appareil. Une fois à l’étranger sur le Wi-Fi d’un hôtel, vous n’aurez probablement pas envie de télécharger une mise à jour iOS de 2 Go via une connexion en laquelle vous n’avez pas confiance.

Quand c’est possible, activez les mises à jour automatiques afin que les correctifs de sécurité soient installés dès leur publication.

Installez des outils de sécurité

Configurez des outils de sécurité comme un antivirus et un réseau privé virtuel (VPN) sur votre appareil. Un antivirus analyse votre appareil, y compris les téléchargements, afin de détecter les fichiers et applis malveillants.

Un VPN reconnu comme ExpressVPN est utile car il chiffre votre trafic internet, ce qui aide à le protéger contre les interceptions sur les réseaux non reconnus. Il masque également votre adresse IP, réduisant les risques de suivi et certaines arnaques basées sur la localisation. Cependant, il ne protège pas contre le phishing ou les faux sites web, même si certains VPN offrent une protection supplémentaire contre les sites malveillants. Par exemple, le Threat Manager d’ExpressVPN aide à empêcher les applis et sites web de se connecter à des domaines malveillants connus, réduisant ainsi votre exposition aux arnaques et aux trackers.

Vérifiez les applis et les autorisations

Avant de voyager, supprimez les applis que vous n’utilisez plus. Cela réduit la quantité de données stockées sur votre appareil et limite les accès inutiles.

Pour les applis restantes, vérifiez les autorisations dans les paramètres de votre appareil. Certains accès sont nécessaires au fonctionnement, comme l’accès à l’appareil photo pour scanner des billets. D’autres, comme les contacts ou la localisation, peuvent ne pas être nécessaires.

Lorsque vous téléchargez les applis nécessaires pour la Coupe du Monde, utilisez les boutiques d’applis officielles ou les sites web officiels, jamais les liens contenus dans un e-mail. Après l’installation, vérifiez et limitez les autorisations à ce qui est strictement nécessaire.

Sauvegardez vos données

Avant de partir, sauvegardez vos fichiers importants comme vos contacts, documents de voyage, pièces d’identité, confirmations de réservation et e-mails. Si votre téléphone est perdu ou volé, cela peut faire la différence entre un mauvais après-midi et un voyage gâché.

Dans le même esprit, activez également les fonctions de suivi ou de localisation de l’appareil :

• iPhone : Réglages > [your name] > Localiser > activez Localiser mon iPhone > activez le réseau Localiser et Envoyer la dernière position.
• Android : Paramètres > Sécurité et confidentialité > Localiser mon appareil > activer.

Activez les limites et alertes de transaction

Définissez des limites quotidiennes et par transaction sur vos cartes. Cela aide à suivre vos dépenses et peut limiter les pertes financières si une carte est perdue ou volée.

Activez également les alertes de transaction dans vos applis bancaires. Cela peut aider à identifier une activité non autorisée si un compte est compromis pendant un voyage pour la Coupe du Monde.

Sur place pendant la Coupe du Monde

Maintenant que vous avez fait les préparatifs, voici quelques habitudes quotidiennes pour protéger vos comptes.

Utilisez uniquement les applis et sites web officiels

Vous revendez, échangez ou transférez un billet à un ami qui part au match ? Tout passe par l’appli officielle. Si quelqu’un vous propose un “transfert instantané” de billet via des captures d’écran, WhatsApp ou tout autre moyen en dehors de l’appli officielle de billetterie, passez votre chemin.

Ajoutez aux favoris tous les sites officiels pour vos billets, réservations de voyage et paiements afin d’éviter de dépendre des résultats de recherche, où de faux sites peuvent apparaître.

Vérifiez l’URL complète avant de saisir un mot de passe. Faites attention aux lettres supplémentaires ou aux domaines inhabituels (la partie à la fin). L’icône de cadenas dans la barre du navigateur signifie que la connexion est chiffrée. Cela ne signifie pas que le site est authentique.

Vous devez également faire attention aux liens et aux codes QR. Si vous recevez un message “urgent” provenant de votre compagnie aérienne, hôtel ou banque, vérifiez directement dans l’appli ou ouvrez le site web dans un navigateur. Si un code QR public semble rayé, superposé ou collé par-dessus un autre, vérifiez l’aperçu de l’URL avant d’appuyer dessus.

Verrouillez vos applis de messagerie

Configurez un PIN, un mot de passe ou un verrouillage biométrique sur toutes vos applis de réseaux sociaux et d’e-mail. Vérifiez ensuite ce que votre écran verrouillé affiche lorsqu’une notification arrive. De nombreux téléphones affichent par défaut le contenu des messages. Dans un stade bondé, un train ou une fan zone, cela peut vous exposer au shoulder surfing, une technique où quelqu’un lit des informations sensibles comme un code PIN ou un mot de passe lorsqu’ils apparaissent sur votre écran verrouillé. Activez l’option “afficher les notifications sans aperçu.”

Vérifiez les sessions actives et appareils liés

Des applis comme Telegram, WhatsApp et LinkedIn permettent aux utilisateurs de rester connectés sur plusieurs appareils simultanément. Bien que pratique, cela signifie aussi qu’en cas de vol d’un appareil, un attaquant pourrait exploiter ces sessions actives pour accéder aux comptes.

Ouvrez chaque appli, trouvez la liste des appareils liés et supprimez tout ce que vous ne reconnaissez pas. Si vous empruntez un appareil, déconnectez-vous de toutes les applis avant de le rendre.

Les arnaques pendant des événements très médiatisés comme la Coupe du Monde ciblent souvent les supporters. Par exemple, un attaquant peut envoyer un lien vers un “groupe de discussion Telegram de la Coupe du Monde”. La page demande à l’utilisateur de scanner un code QR pour rejoindre le groupe, mais le code permet en réalité à l’attaquant de se connecter au compte depuis un autre appareil.

Désactivez les téléchargements automatiques

Désactivez les téléchargements automatiques dans les applis de messagerie. Cela empêche les fichiers d’être enregistrés sur votre appareil sans votre validation.

Les attaquants peuvent diffuser des fichiers indésirables ou potentiellement malveillants déguisés en offres de billets, promotions ou cadeaux. Vérifier les fichiers avant de les ouvrir peut réduire ce risque.

Si quelque chose tourne mal

Vous savez maintenant comment sécuriser vos applis de messagerie, d’e-mail, bancaires et de paiement pendant la Coupe du Monde. Cependant, rien n’est infaillible. Donc si quelque chose se passe mal, voici quelques conseils sur les étapes à suivre.

Si votre téléphone est perdu ou volé

Depuis un autre appareil, connectez-vous à Find My Device de Google ou à Localiser d’Apple pour localiser l’appareil (s’il est connecté) ou voir sa dernière position connue. Ensuite, activez Marquer comme perdu (Android) ou le Mode Perdu (iOS) afin de verrouiller votre appareil, afficher un message de retour avec vos coordonnées et désactiver Apple Pay et Google Pay.

En dernier recours, vous pouvez effacer votre appareil à distance. Cependant, vous ne pourrez plus le localiser ensuite.

Déposez plainte auprès de la police locale. Votre assurance voyage (et la plupart des protections d’achat des cartes bancaires) exigera un numéro de rapport.

Si vous pensez qu’un compte est compromis

Si vous soupçonnez qu’un compte a été compromis :

• Depuis un autre appareil, changez le mot de passe.
• Déconnectez toutes les sessions actives.
• Activez la 2FA sur les comptes concernés. Si elle était déjà activée, vérifiez qu’elle l’est toujours et que le numéro de téléphone et l’e-mail de récupération n’ont pas été modifiés.
• Lancez une analyse de sécurité sur votre appareil si vous avez cliqué sur un lien suspect ou téléchargé un fichier.
• Vérifiez l’activité récente afin de détecter toute action non autorisée.
• Prévenez vos contacts si des messages ou liens ont été envoyés depuis votre compte sans votre autorisation.

Si votre argent est en danger

Si vous recevez une alerte de transaction pour une opération que vous ne reconnaissez pas, signalez-la immédiatement.

• Appelez votre banque pour bloquer votre carte.
• Contestez officiellement le paiement. Essayez d’appeler le jour même afin de limiter les pertes.
• Documentez tout : captures d’écran, identifiants de transaction, dates et heures.
• Déposez un signalement de fraude auprès de l’organisme compétent :
  • États-Unis : https://reportfraud.ftc.gov/, ainsi que https://www.ic3.gov/ pour les fraudes liées au cybercrime.
  • Canada: Centre antifraude du Canada (https://antifraudcentre.ca/) et Bureau de la concurrence.
  • Mexique : Procuraduría Federal del Consumidor (PROFECO).
• Si votre identité a probablement été exposée (passeport, permis ou numéro complet de sécurité sociale), vous pouvez éventuellement demander un gel de crédit afin d’empêcher l’ouverture de nouveaux comptes à votre nom.

FAQ : Questions fréquentes sur la protection de vos comptes en ligne pendant la Coupe du Monde