Passer au contenu principal
Adoption du protocole DMARC : Coupe du monde de la FIFA 2026 

Adoption du protocole DMARC : Coupe du monde de la FIFA 2026 

28 mai 2026
Actualités de l'écosystème

Dans cette édition de notre étude sur l'adoption du protocole DMARC, nous nous intéressons à l'écosystème de la Coupe du monde de la FIFA et examinons comment les équipes nationales, les clubs de championnat, les sponsors et les supporters des pays hôtes gèrent la sécurité de leurs domaines alors qu'ils seront sous les feux de la rampe sportive mondiale en juin.

Organisée conjointement par trois pays et élargie pour la première fois à 48 équipes réparties dans 16 villes, la Coupe du monde de la FIFA 2026 se retrouve sous le feu des cartons jaunes et rouges en matière de sécurité des domaines Internet et d'authentification des e-mails.

Qu'il s'agisse de domaines Internet vulnérables ou de ceux dotés de politiques d'application DMARC de type p=quarantine ou p=reject, les domaines liés à la Coupe du monde que nous avons analysés présentent des niveaux de sécurité très variables en matière de hameçonnage et d'usurpation d'identité. En moyenne, 45 % d'entre eux sont exposés au hameçonnage, à l'usurpation d'identité et à la fraude par e-mail. Avec plus de cinq millions de personnes assistant aux matchs en direct et des milliards d'autres les regardant à distance, les enjeux sont considérables.

Alors que les États-Unis s'apprêtent à accueillir des millions de visiteurs à l'occasion de la Coupe du monde de la FIFA 2026, la CISA collabore avec les villes hôtes et ses partenaires à travers tout le pays afin d'aider les communautés à célébrer cet événement en toute sécurité. Nos équipes fournissent des évaluations de la sécurité physique et de la cybersécurité, organisent des exercices interinstitutionnels, assurent la surveillance des menaces et élaborent des plans de résilience. La CISA collabore avec les stades, les réseaux de transport, les réseaux de communication et les services essentiels afin de renforcer la sécurité et d'améliorer la résilience. La CISA a mené à bien des évaluations sur l'ensemble des sites de la Coupe du monde et des infrastructures connexes, et a organisé six exercices de préparation impliquant près de 200 partenaires fédéraux et 2 000 participants.

— Agence pour la cybersécurité et la sécurité des infrastructures (CISA)

Adoption du protocole DMARC : les ligues de football

À titre d'exemple de championnats internationaux, nous avons étudié la Liga et la Premier League anglaise (EPL), deux des ligues sportives professionnelles les plus populaires au monde. 

Adoption du protocole DMARC : graphique de la Liga pour la Coupe du monde de la FIFA 2026
Adoption du protocole DMARC : Coupe du monde de la FIFA 2026 – Tableau de la Premier League

Nous avons mené une étude sur ce sujet afin de déterminer si les réglementations respectives et divergentes en matière de protection de la vie privée en Espagne et en Angleterre ont une incidence sur les niveaux de sécurité des e-mails et de protection des domaines.

Par exemple, 30 % des clubs de la Liga ne disposent pas d'un enregistrement DMARC, tandis que tous les clubs de la Premier League en ont un, bien que 25 % d'entre eux aient un p=none . La politique de surveillance « none » permet de visualiser le trafic de courrier électronique et sa source, mais ne fait rien pour empêcher un e-mail malveillant d'atteindre la boîte de réception d'un destinataire.

Nous avons appris que 45 % des clubs de la Liga sont protégés par p=reject ou p=quarantine , tandis que les équipes de l'EPL affichent un taux d'application DMARC de 65 %. Une politique de mise en quarantaine envoie les e-mails qui échouent à l'authentification SPF et DKIM vers le dossier spam, tandis qu'une politique de rejet s'apparente à un carton rouge et empêche l'e-mail d'entrer dans le jeu de la tromperie.

Le Bureau du commissaire à l'information (ICO) du Royaume-Uni applique une politique de contrôle stricte dans le cadre du RGPD britannique, infligeant des amendes lourdes (pouvant atteindre 4 % du chiffre d'affaires mondial), émettant des avis d'exécution et menant des audits en cas d'infractions telles qu'une sécurité insuffisante des e-mails.

L'Agencia Española de Protección de Datos (AEPD), l'autorité nationale de contrôle indépendante chargée de faire respecter la législation sur la protection des données en Espagne, inflige moins de sanctions et privilégie davantage la sensibilisation des utilisateurs, les outils de consentement et l'accompagnement par des experts en la matière plutôt que les contrôles agressifs. L'approche de l'AEPD pourrait expliquer le recours plus fréquent aux politiques DMARC de surveillance et de mise en quarantaine parmi les clubs espagnols.

Bonnes pratiques : améliorer l'
e de votre politique DMARC

Découvrez comment définir en toute confiance la politique DMARC optimale p=reject.

Adoption du protocole DMARC : les équipes de la Coupe du monde

Dans cette partie de notre étude sur l'adoption de cette norme, nous nous intéressons aux clubs de ligues et aux équipes nationales dans leur ensemble afin d'évaluer leur situation en matière d'enregistrements DMARC et de niveaux d'application. 

Équipes nationales : 29 % dans le cadre de l'application de la norme DMARC

Adoption du protocole DMARC : les équipes de la Coupe du monde de la FIFA 2026

Les équipes nationales participant à la Coupe du monde ont un peu plus de mal à garantir la sécurité de leurs domaines : 37 % d'entre elles ne disposent d'aucun enregistrement DMARC, et 34 % ont un p=none ou des erreurs d'enregistrement. Les 29 % restants ont publié des politiques d'application pour assurer la sécurité de leurs parties prenantes.    

L'Irak et la Côte d'Ivoire : les cas à part

Deux participants à la Coupe du monde 2026 — l’Irak et la Côte d’Ivoire — n’apparaissent dans l’écosystème de messagerie électronique du tournoi que par l’intermédiaire de l’infrastructure de domaine propre à la FIFA, sans disposer d’une présence indépendante protégée par DMARC. La Fédération irakienne de football opère sur ifa.iq, un ccTLD (domaine de premier niveau national) qui est resté pratiquement inactif pendant des années à la suite de l'effondrement de l'infrastructure nationale de communication de l'Irak après 2003 et qui n'a été réactivé pour un usage général que bien après le début de la décennie suivante. La fédération ivoirienne utilise fifciv.com, un domaine .com enregistré de manière générique, typique des fédérations de football d’Afrique de l’Ouest qui ont été créées sans envisager d’authentification des e-mails de niveau entreprise — et dans aucun des deux cas, un enregistrement DMARC n’a été mis en place.

Adoption du protocole DMARC : hébergeurs et sponsors de la Coupe du monde

Dans cette analyse comparative, nous avons examiné les sponsors de la Coupe du monde de la FIFA et les supporters des villes hôtes afin de déterminer comment ces groupes distincts, dotés de ressources variables, se préparent à lutter contre le phishing et d’autres formes de fraude par e-mail pendant cet événement sportif mondial.

Hébergeurs : 55 % appliquent les règles DMARC 

Adoption du protocole DMARC : pays hôtes de la Coupe du monde de football 2026

En ce qui concerne les « host supporters », ces organisations qui s'associent à des villes hôtes spécifiques pour contribuer au financement et à la promotion du tournoi, nous avons constaté que près de la moitié des domaines parents étaient exposés au phishing et à l'usurpation d'identité. Plus de la moitié, soit 52 %, disposent d'une politique DMARC optimale, à savoir p=reject et 3 % s'en approchaient avec une p=quarantine .     

Sponsors de la Coupe du monde : 71 % soumis aux mesures coercitives de la DMARC

Adoption du protocole DMARC : les sponsors de la Coupe du monde de football 2026

La situation en matière de sécurité des domaines semble plus encourageante chez les sponsors de la Coupe du monde de la FIFA, où 29 % des domaines sont exposés à des risques d'attaques de phishing et d'usurpation d'identité en raison d'erreurs dans les enregistrements DMARC, de l'absence d'enregistrement ou d'un p=none . En revanche, 71 % étaient soumis à une politique de rejet ou de mise en quarantaine — ce qui en fait le groupe le mieux protégé de notre audit sur l'adoption de la Coupe du monde. 

Problèmes liés au SPF

Nos recherches ont révélé que les erreurs liées au SPF étaient fréquentes dans l'écosystème de la Coupe du monde, qu'il s'agisse de requêtes excessives, de l'absence d'enregistrement SPF, de la présence de plusieurs enregistrements SPF ou d'enregistrements non valides, généralement dus à une erreur de syntaxe.

Vérifiez la syntaxe de votre fichier SPF

Votre enregistrement SPF est-il correct et optimisé pour améliorer la couverture de l'authentification, la délivrabilité des e-mails et la sécurité du domaine ?

Absence d'adresse de notification de l'EFU

En ce qui concerne les enregistrements DMARC, nous avons constaté un problème récurrent : l'absence d'adresse e-mail de notification RUA. Le RUA est un élément essentiel du protocole DMARC qui détermine la destination des rapports DMARC. Sans adresse RUA, il est impossible de savoir quels e-mails sont envoyés via votre domaine, qu'ils soient légitimes ou non. Cette visibilité est cruciale, car elle vous permet d'identifier et de corriger toute utilisation non autorisée de votre domaine.

Les événements de grande envergure, tels que les Jeux Olympiques ou la Coupe du monde, concentrent l’attention mondiale, mobilisent des infrastructures numériques colossales et s’accompagnent d’une pression temporelle intense, ce qui en fait des cibles de choix pour les cybercriminels. Lorsque vous constatez l’apparition de sites de vente de faux billets ou de cyber-sabotages, cela vous indique deux choses : premièrement, les attaquants se dirigent là où se concentrent l’attention et l’argent ; deuxièmement, ces événements élargissent considérablement la surface d’attaque. Vous ne protégez pas seulement des stades ; vous protégez tout un écosystème. Vous protégez les plateformes de billetterie, les systèmes de diffusion, les réseaux de transport, les sponsors, les fournisseurs, les applications mobiles et les appareils de millions de spectateurs.

—Justin Miller, professeur associé chargé de cours en cyberétudes appliquées aux technologies gouvernementales à l'université de Tulsa

Renforcez votre sécurité avec DMARC

Les entreprises ont recours au protocole DMARC et aux technologies sous-jacentes que sont SPF et DKIM comme mécanismes de contrôle basés sur le domaine pour répondre aux besoins suivants :

  • Fraude par e-mail – Le cas d'utilisation initial de DMARC. DMARC permet de savoir comment un domaine est utilisé et empêche les expéditeurs non autorisés d'envoyer des e-mails au nom d'une organisation.
  • Sécurité des tiers : grâce à DMARC, vous pouvez rapidement évaluer et surveiller le niveau de sécurité des fournisseurs.
  • Conformité – Les secteurs d'activité, les pouvoirs publics et les réglementations exigent de plus en plus la mise en place du protocole DMARC.

Comment dmarcian peut aider

Fort d'une équipe d'experts en sécurité des e-mails et animé par la mission de rendre les e-mails et Internet plus fiables, dmarcian peut vous aider à évaluer votre catalogue de domaines, à déployer DMARC et à gérer la sécurité de vos domaines sur le long terme. Grâce à notre expertise et à notre mission « DMARC for All », nous pouvons vous aider à

  • Passez en toute sécurité du contrôle à l'application de la loi grâce à nos conseils d'experts.
  • Découvrez comment fonctionnent les protocoles SPF, DKIM et DMARC, et pourquoi ils sont indispensables.
  • Configurez ces protocoles afin d'assurer une distribution transparente du courrier électronique.
  • Contrôler les rapports d'authentification afin d'identifier et de résoudre rapidement tout problème.
Protégez les personnes qui dépendent de votre messagerie

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.

DMARCAdoption de DMARCAvantages du DMARCRecherche

Articles connexes