Société

Mondial 2026 : la ruée vers le streaming fait exploser les cyberattaques

Derrière la promesse d’un match gratuit se cache parfois une arnaque coûteuse. Faux sites de streaming, applications piégées, liens frauduleux diffusés sur les réseaux sociaux : à l’approche de la Coupe du monde, les cybercriminels profitent de l’engouement des supporters pour multiplier leurs pièges. Le Pr Youssef Bentaleb, président du Centre marocain de recherches polytechniques et d’innovation, décrypte les ressorts de ces escroqueries numériques.

Hajjar El Haïti 12 Juin 2026 À 10:30

À chaque Coupe du monde, la même scène se répète : des millions de supporters recherchent des moyens de suivre les matchs en direct. Sites de streaming, applications mobiles, liens partagés sur les réseaux sociaux ou groupes WhatsApp... la quête du match parfait devient souvent une course contre la montre. Une précipitation dont profitent les cybercriminels, qui multiplient les pièges numériques en exploitant l’engouement des fans. Derrière la promesse d’un accès gratuit aux rencontres se cachent parfois des arnaques sophistiquées pouvant aller jusqu’au vol de données bancaires et à la prise de contrôle complète du téléphone de la victime.

Selon le Pr Youssef Bentaleb, président du Centre marocain de recherches polytechniques et d’innovation (CMRPI), cette recrudescence des escroqueries n’a rien d’un hasard. «La logique est simple à comprendre : les cybercriminels raisonnent exactement comme des commerçants, sauf qu’ils vendent de la fraude», explique-t-il.

Pour l’expert, les grands événements sportifs créent des conditions idéales pour les escrocs. «Quand un événement comme la Coupe du monde génère un engouement massif, il crée également une fenêtre d’opportunité énorme pour les escrocs.» Le Maroc est particulièrement concerné par ce phénomène. Nation passionnée de football et future coorganisatrice de la Coupe du monde 2030, le Royaume verra des millions de supporters rechercher des billets, des plateformes de diffusion ou encore des applications de suivi des matchs.

Cette situation crée ce que le spécialiste qualifie de «surface d’attaque émotionnelle». «Quand l’enthousiasme prend le dessus, la vigilance baisse. L’urgence de voir un match qui commence dans quelques heures pousse à cliquer vite, à télécharger sans vérifier ou à saisir ses coordonnées sur un site que l’on n’aurait jamais consulté en temps normal», souligne-t-il.

Un véritable «marketing criminel»

Loin des arnaques artisanales d’autrefois, les campagnes frauduleuses sont aujourd’hui organisées à grande échelle. «Les réseaux cybercriminels sont industrialisés. Ils préparent leurs campagnes des mois à l’avance, achètent des noms de domaine qui ressemblent aux sites officiels et lancent leurs opérations au moment précis où le public est le plus réceptif. C’est du marketing criminel, ni plus ni moins», affirme le président du Centre marocain de recherches polytechniques et d’innovation.

Parmi les techniques les plus répandues figurent les faux sites de streaming. Une simple recherche du type «Regarder le match du Maroc en direct gratuitement» peut conduire l’internaute vers des plateformes imitant parfaitement des services légitimes. Logos officiels, calendriers de matchs authentiques, compteurs de spectateurs fictifs : tout est conçu pour inspirer confiance.

Avant d’accéder au prétendu flux vidéo, l’utilisateur est souvent invité à créer un compte ou à fournir des informations personnelles, voire bancaires, sous prétexte d’une simple vérification.

Des applications qui ressemblent aux vraies

Le deuxième vecteur d’attaque concerne les applications mobiles frauduleuses. Certaines circulent en dehors des boutiques officielles, tandis que d’autres parviennent temporairement à s’y infiltrer. «Ces applications imitent parfaitement l’interface d’un service officiel : couleurs, typographies, notifications avant les matchs, tout est fait pour reproduire l’expérience d’une véritable application sportive», explique Youssef Bentaleb.

Le danger se cache toutefois dans les autorisations demandées à l’installation. Accès aux SMS, aux contacts, au stockage du téléphone ou encore aux fonctions d’accessibilité : autant de permissions qui peuvent ouvrir la voie à des usages malveillants.

De même, les cybercriminels exploitent les réseaux sociaux et les groupes de messagerie. Au Maroc, où WhatsApp constitue l’un des principaux moyens de communication, un lien partagé par un proche inspire naturellement confiance. «Les cybercriminels exploitent exactement cette chaîne de confiance», avertit l’expert.

Selon lui, l’intelligence artificielle a encore renforcé la crédibilité de ces dispositifs frauduleux. «Nous ne sommes plus face à des sites remplis de fautes d’orthographe. Les interfaces sont aujourd’hui quasi professionnelles, ce qui les rend d’autant plus dangereuses.»

Quand une simple autorisation ouvre la porte aux comptes bancaires

Certaines victimes rapportent avoir perdu le contrôle de leur téléphone après avoir simplement accepté certaines autorisations ou validé une authentification biométrique. Un scénario tout à fait plausible, selon le spécialiste. «Lorsque vous accordez à une application malveillante l’accès aux services d’accessibilité, à la lecture des SMS ou à la superposition d’écran, vous lui donnez en réalité les clés de votre téléphone», explique-t-il.

Les services d’accessibilité, conçus à l’origine pour assister les personnes en situation de handicap, peuvent être détournés afin de permettre à un logiciel malveillant de visualiser l’écran, de simuler des clics et même d’interagir avec d’autres applications à la place de l’utilisateur. «Concrètement, l’application peut ouvrir votre application bancaire, remplir un formulaire de virement et le valider», précise-t-il.

L’accès aux SMS permet quant à lui d’intercepter les codes de vérification envoyés par les banques, neutralisant ainsi une partie des mécanismes de sécurité. D’autres logiciels utilisent des techniques de superposition d’écran afin d’afficher de fausses interfaces bancaires destinées à récupérer identifiants et mots de passe.

Même l’empreinte digitale ou la reconnaissance faciale peuvent être détournées. «L’application demande à l’utilisateur de s’authentifier sous un faux prétexte, par exemple pour accéder à un service de streaming, alors qu’elle valide en réalité une opération bancaire à son insu», explique le président du CMRPI.

Ces méthodes ne relèvent pas de la fiction. Elles sont déjà utilisées par plusieurs familles de Malwares bancaires telles qu’Anatsa, Cerberus ou Hook, qui ciblent activement des utilisateurs dans différentes régions du monde, y compris en Afrique et au Moyen-Orient.

Personne n’est réellement à l’abri

Contrairement à une idée répandue, les victimes ne sont pas uniquement des internautes peu familiarisés avec les technologies. «Franchement, il faut dire que personne n’est à l’abri», insiste Youssef Bentaleb. Certes, certaines campagnes frauduleuses visent les utilisateurs les moins sensibilisés aux risques numériques à travers des promesses alléchantes, comme des billets gratuits pour la Coupe du monde. Mais les cybercriminels développent aussi des attaques beaucoup plus sophistiquées.

L’expert cite notamment les opérations de «Spear Phishing», qui ciblent des profils précis tels que les cadres, dirigeants ou professionnels du numérique à partir d’informations recueillies sur les réseaux sociaux professionnels.

«Un ingénieur informatique peut recevoir un message semblant provenir d’un collègue, contenant un lien vers un calendrier de matchs interactif qui embarque en réalité un Malware», illustre-t-il.

Au-delà du niveau de connaissance technique, la principale faille demeure souvent humaine. «La vraie différence ne se fait pas entre les naïfs et les avertis, mais entre ceux qui restent vigilants en permanence et ceux qui baissent la garde au mauvais moment», estime-t-il.

Les signaux qui doivent immédiatement alerter

Face à ces menaces, plusieurs indices permettent d’identifier une plateforme suspecte. Le premier est la promesse du gratuit. «Si un site vous propose de regarder gratuitement des matchs dont les droits de diffusion ont été acquis par des chaînes officielles, cela doit immédiatement éveiller les soupçons», souligne l’expert.

Deuxième signal d’alerte : les autorisations excessives. Une application de streaming n’a aucune raison légitime de demander l’accès aux SMS, aux contacts ou aux services d’accessibilité du téléphone.

L’urgence artificielle constitue aussi un indicateur fréquent. Messages du type «Inscrivez-vous dans les trois prochaines minutes» ou «Plus que quelques places disponibles» visent avant tout à empêcher l’utilisateur de réfléchir. Le spécialiste recommande, en outre, de vérifier systématiquement l’adresse du site consulté. Les noms de domaine trop longs, inhabituels ou imitant maladroitement ceux des plateformes officielles doivent susciter la méfiance.

Enfin, l’absence de mentions légales, de conditions d’utilisation ou d’informations claires sur l’éditeur du service constitue un autre signal de risque.

À l’heure où l’attente autour des grandes compétitions footballistiques ne cesse de croître, Youssef Bentaleb appelle les supporters à ne pas laisser leur passion prendre le dessus sur leur vigilance. Car derrière la promesse d’un match gratuit peut parfois se cacher une opération bien plus coûteuse qu’un simple abonnement sportif.

Réflexes de protection simples et efficaces

• Utiliser uniquement les sources officielles. Pour la Coupe du monde, identifiez dès maintenant les diffuseurs officiels au Maroc et installez leurs applications depuis les stores officiels («Google Play» et «App Store»). Mettez ces sources en favoris pour ne pas avoir à chercher au dernier moment.• Ne jamais installer d’application en dehors des stores officiels. Désactivez l’option «Sources inconnues» sur Android. C’est la première porte d’entrée des applications malveillantes.

• Vérifier systématiquement les autorisations. Après l’installation de toute application, allez dans les paramètres de votre téléphone et examinez les autorisations accordées. Révoquez tout ce qui n’est pas strictement nécessaire au fonctionnement de l’application.

• Activer l’authentification à deux facteurs sur vos comptes bancaires et vos comptes en ligne, de préférence via une application d’authentification plutôt que par SMS, puisqu’on a vu que les SMS peuvent être interceptés.

• Maintenir vos appareils à jour. Les mises à jour de sécurité d’Android et d’iOS corrigent des vulnérabilités qui sont activement exploitées. Reporter une mise à jour, c’est laisser une porte ouverte.

• Se méfier des liens reçus sur WhatsApp ou les réseaux sociaux, même s’ils proviennent de proches. Votre ami partage peut-être un lien frauduleux sans le savoir. Prenez le réflexe de vérifier avant de cliquer.

• Limiter les informations bancaires stockées sur votre téléphone. Moins votre appareil contient de données sensibles, moins une compromission sera dommageable.

• Et enfin, en cas de doute, il est important de signaler. Au Maroc, les citoyens peuvent signaler les contenus suspects via la plateforme «e-blagh» de la Direction générale de la Sûreté nationale (DGSN), ou via «e-vigilance.ma» de l’Espace Maroc Cyberconfiance pour les contenus diffusés sur les réseaux sociaux. La cybersécurité est l’affaire de tous, et chaque signalement contribue à renforcer la protection de l’ensemble de la communauté.

Ce que je souhaite que les Marocains retiennent, c’est que l’enthousiasme pour le football ne doit jamais devenir une vulnérabilité numérique. À l’approche des matchs de la Coupe du monde 2026 et alors que nous nous préparons à vivre un événement historique avec la Coupe du monde 2030 sur notre sol, il est essentiel de rester vigilants. Préparons-nous à profiter pleinement de ces événements, mais en toute sécurité.
Articles similaires

La Fondation Mohammed VI des Œuvres Sociales des Enseignants inaugure à Saïdia son sixième complexe touristique Zephyr

Animaux errants : identification obligatoire et sanctions renforcées... ce que prévoit le nouveau projet de loi

Espagne : 40.000 Marocains confrontés à un casse-tête autour de leur permis de conduire
Copyright Groupe le Matin © 2026