Les attaques contre les plateformes de paris sportifs s’intensifient à l’approche de la Coupe du monde de la FIFA 2026

Les grands événements sportifs n’attirent pas seulement les fans. Ils attirent aussi les cybercriminels. 

La Coupe du Monde de la FIFA 2026 génère un trafic record vers les plateformes de paris sportifs dans le monde entier, et DataDome a observé une forte augmentation des attaques de bots ciblant ce secteur. Pour une grande plateforme européenne, le trafic bloqué s’élevait en moyenne à environ 200 000 requêtes par jour début juin, avant d’augmenter régulièrement tout au long du mois pour totaliser près de 19 millions de requêtes malveillantes bloquées en seulement trois semaines.

Le 10 juin, la veille du match d’ouverture de la Coupe du Monde, la plateforme a été frappée par un événement encore plus grave : une attaque DDoS éclair qui a lancé 786 000 requêtes en 87 secondes, avec un pic de près de 18 000 requêtes par seconde. Elle était terminée avant même que la plupart des systèmes de détection n’aient pu collecter suffisamment de données pour se rendre compte qu’il y avait un problème.

L’attaque provenait de Biterika Group LLC, un fournisseur d’hébergement basé en Russie, déjà lié à une attaque DDoS plus ancienne contre des organisations médiatiques. La télémétrie de DataDome montre que 91% du trafic venant de ce fournisseur est malveillant. Certaines attaques de bots essaient de rester invisibles, en répartissant les requêtes sur plusieurs heures, en maintenant chaque IP bien en dessous des seuils de détection, se fondant dans le bruit de fond. Celle-ci a fait exactement le contraire.

DataDome a détecté et bloqué en temps réel tant la vague d’attaques soutenues que l’attaque DDoS éclair. L’équipe de recherche sur les menaces Galileo de DataDome a analysé l’événement et identifié un botnet construit sur une infrastructure de proxy connue, l’un de nos modèles de détection par IA s’étant avéré décisif contre cette campagne de grande envergure.

Principales conclusions

• Les attaques de bots visant les plateformes de paris sportifs ont augmenté depuis le début de la Coupe du Monde de la FIFA 2026, avec près de 19 millions de requêtes bloquées pour une grande plateforme européenne en trois semaines.
• La veille du match d’ouverture, la plateforme a été frappée par un DDoS éclair lançant 786 000 requêtes en 87 secondes, principalement conduit par le fournisseur d’hébergement russe Biterika Group LLC.
• Le trafic était majoritairement axé sur le web (99,79%), avec un nombre minime de tentatives de sondage sur les points de terminaison de connexion (0,21 %) et de création de compte (0,01 %), ce qui indique que l’objectif principal était de perturber la plateforme.
• Le modèle Turing de DataDome a atténué plus de 10 millions de requêtes à lui seul, détectant la vague d’attaque soutenue à travers des motifs de signal basés sur le temps.

Chronologie de l’attaque

Le graphique du trafic bloqué ci-dessous illustre la tendance générale. Depuis la fin mai, les requêtes bloquées pour cette plateforme ont commencé à grimper régulièrement, lentement au début, puis brusquement à partir du 5 juin à mesure que la Coupe du Monde approchait. Au 9 juin, le volume quotidien bloqué avait été multiplié par près de dix par rapport à son niveau du début du mois.

Un zoom sur le 10 juin – la veille du match d’ouverture de la Coupe du Monde – révèle un seul pic qui éclipse tout le reste : plus d’un million de requêtes en une seule tranche, soit plus de trois fois le pic le plus élevé des jours précédents.

Le trafic d’origine russe atteint environ 18 000 requêtes par seconde dans un mur presque vertical sans montée en puissance, sans période de préchauffage, sans escalade progressive.

En quelques secondes, la composition géographique commence à s’élargir. Des sources d’origine américaine, allemande, indonésienne, singapourienne et d’une douzaine d’autres pays rejoignent le flux, ajoutant chacune des centaines à quelques milliers de requêtes par seconde.

Le total se stabilise à un niveau soutenu d’environ 1 000 req/s, ce qui est encore bien au-dessus de toute base légitime, mais plus calme que le pic initial.

La forme de l’attaque est révélatrice. Il n’y a qu’un seul vrai pic, une seule impulsion coordonnée plutôt que des vagues répétées ou une pression croissante. Cela suggère que l’opérateur ne s’est pas adapté en temps réel ; il a lancé l’intégralité de sa charge utile d’un seul coup et n’a pas réessayé avec une force significative lorsqu’il a été bloqué.

La diversification géographique qui suit le pic russe initial peut servir un objectif différent : en répartissant rapidement l’empreinte des sources sur plusieurs pays, l’attaque rend le blocage par un seul pays largement inefficace. Il s’agit peut-être d’une tentative délibérée de brouiller l’attribution et de déjouer une réponse géolocalisée.

Infrastructure : proxys connus et hébergeur russe

L’attaque s’est entièrement appuyée sur une infrastructure de proxy connue, des centres de données et des proxys de FAI qui ont déjà une mauvaise réputation au sein des réseaux de renseignements sur les menaces. Il ne s’agit pas d’une réutilisation opportuniste, mais d’une opération pré-organisée, délibérément mise en place à partir de fournisseurs ayant des antécédents avérés de trafic malveillant.

Aucune de ces géolocalisations ne reflète la base d’utilisateurs légitimes de la plateforme. Une plateforme de paris réglementée en Europe ne reçoit pas son trafic de Russie, d’Indonésie ou de Corée du Sud. Chaque pays de ce tableau est une infrastructure routée par proxy ou hébergée dans un centre de données avec des géolocalisations sans aucun rapport avec l’emplacement réel de l’opérateur.

Tous les ASN n’ont pas contribué de manière égale. Bien que l’attaque ait couvert 625 systèmes autonomes, l’un d’entre eux a largement dominé la distribution des sources : Biterika Group LLC (AS35048) basé en Russie, qui représente 76,4% de tout le trafic d’attaque. Les ASN restants (y compris des noms familiers comme Alibaba, Tencent, QuickPacket et Oracle) ont chacun contribué à moins de 7 % individuellement, constituant davantage du bruit que de véritables infrastructures significatives.

Biterika est un fournisseur russe d’hébergement Internet et de proxy basé à Zelenograd, Moscou. Il fournit principalement une infrastructure de serveur, des proxys publics et des services d’anonymisation. Selon son site commercial proxy[.]house, Biterika prétend être le plus grand fournisseur russe de serveurs proxy.

Bien qu’il opère sur le papier comme une entreprise d’hébergement commercial standard, Biterika est principalement connu dans la communauté de la cybersécurité pour son infrastructure tolérante aux abus, ses connexions avec des entités russes sanctionnées et son implication présumée dans des cyberattaques soutenues par l’État.

En juin 2025, une attaque DDoS ciblant deux organisations médiatiques a été retracée jusqu’à l’infrastructure de Biterika. Les organisations venaient de publier une enquête sur un réseau de trafic sexuel de mineurs, révélant comment des clients de premier plan — notamment des oligarques russes — avaient échappé à la justice.

Les données télémétriques de DataDome dressent un tableau similaire. Sur une période de 7 jours, plus de 91 % de l’ensemble du trafic provenant de cet ASN était frauduleux, ce qui en fait l’un des systèmes autonomes les plus systématiquement malveillants observés chez nos clients.

Profil de l’attaquant

Il ne s’agissait pas d’une attaque sophistiquée, mais plutôt d’une attaque brutale. L’acteur malveillant n’a pas cherché à maintenir le trafic en dessous d’un seuil de détection, mais s’est plutôt appuyé sur l’étendue des adresses IP et la vitesse de pointe pour submerger les systèmes de réponse avant qu’ils ne puissent réagir. Cette approche est peu efficace face à la détection comportementale opérant au niveau de la flotte.

La répartition géographique sur plusieurs pays ajoute à la complexité opérationnelle pour les défenseurs qui tentent un blocage à la source, mais le nombre total d’adresses IP se situe largement dans la plage de détection d’une couche de renseignements sur les menaces correctement configurée.

L’investissement le plus important a porté sur une infrastructure de proxys connus ainsi que sur des en-têtes HTTP et des cookies falsifiés — des techniques élémentaires qui laissent des traces évidentes de non-correspondance au niveau des empreintes côté serveur. Les empreintes de navigateur étaient obsolètes et incompatibles avec les distributions actuelles des utilisateurs réels.

L’instabilité de l’environnement de session (22 % des marqueurs de menace) et les incohérences de géolocalisation (7 %) indiquent l’utilisation d’outils de rotation au niveau de la couche de session. Cependant, cette rotation reste superficielle : l’environnement de session et l’identité du navigateur changent, mais les empreintes des appareils et du matériel restent stables — un schéma typique des frameworks d’automatisation qui randomisent les agents utilisateurs sans maintenir de cohérence plus profonde.

Les attaques DDoS éclair contre les plateformes à fort trafic ne sont pas toujours purement destructrices. Elles peuvent également être utilisées comme un outil de coercition conçu pour faire pression sur la cible afin qu’elle paie une rançon pour éviter une attaque plus large et soutenue.

Le timing ici est notable : frapper une plateforme de paris sportifs la veille du match d’ouverture de la Coupe du Monde maximise la menace perçue. Nous n’avons aucune indication qu’une demande de rançon ait accompagné cet événement spécifique, mais les plateformes de paris sportifs devraient traiter les incidents de DDoS éclair autour des grands événements sportifs comme des précurseurs potentiels de tentatives d’extorsion plutôt que comme des incidents techniques isolés.

Comment DataDome a détecté et arrêté l’attaque

Pour cette attaque DDoS éclair, la détection de DataDome a opéré simultanément sur quatre couches. Au niveau de la couche réseau, les informations sur la réputation des adresses IP ont signalé une part significative de l’infrastructure de proxys du botnet dès le premier contact : les adresses IP connues pour être malveillantes ont été identifiées et bloquées avant même qu’une analyse comportementale ne soit nécessaire. L’empreinte TLS et l’analyse des en-têtes ont permis d’identifier des présentations de navigateur usurpées qui avaient échappé à la détection au niveau de la couche application.

Au niveau comportemental, le profil global des requêtes (volume, distribution de fréquence, anomalies dans la séquence des sessions) s’est immédiatement révélé incompatible avec tout modèle de trafic légitime pour cette plateforme.

La durée de 87 secondes constitue la contrainte critique. Un système de détection nécessitant plusieurs minutes d’analyse pour établir une confiance statistique serait encore en phase de préchauffage à la fin de cette attaque. La détection en temps réel avec une latence inférieure à la seconde n’est pas facultative face à ce schéma ; c’est la seule détection qui compte. Le temps qu’un analyste humain puisse enquêter et signaler l’incident, l’événement serait déjà terminé.

Face à la vague d’attaque plus large et soutenue qui a précédé et suivi le DDoS éclair, un défi différent est apparu : un volume qui s’est construit progressivement, à travers de nombreuses sessions, sans la signature nette d’un événement de rafale. C’est là que Turing, un modèle d’IA de DataDome qui génère de manière autonome des règles de détection à partir de motifs de signal basés sur le temps, a à lui seul atténué plus de 10 millions de requêtes pour ce client depuis le 1er juin.

Points clés à retenir pour les défenseurs

Les grands événements sportifs sont des fenêtres d’attaque

La flambée des attaques coïncidant avec la Coupe du Monde de la FIFA 2026 n’est pas fortuite. Les événements à fort trafic concentrent simultanément la valeur et la pression sur les plateformes : les cotes changent rapidement, les utilisateurs sont actifs, et toute perturbation a un impact financier et réputationnel immédiat. Les attaquants le savent. Les plateformes de paris sportifs doivent traiter les calendriers des grands tournois comme des calendriers de menaces et ajuster leur posture en conséquence.

Les attaques DDoS éclair sont conçues pour devancer le temps de réponse

Un délai de 87 secondes ne laisse aucun temps pour une intervention humaine. Un blocage automatisé en temps réel, avec une latence de l’ordre de la milliseconde, est la seule stratégie viable contre ce type d’attaque.

La séquence « Russie d’abord » est une signature opérationnelle qui mérite d’être suivie

Un pic d’origine russe anormal sur une plateforme non orientée vers la Russie est un signal précoce fort d’une possible explosion mondiale imminente. Les défenseurs qui peuvent agir sur ce pic initial, avant que la cascade ne s’élargisse, ont une avance significative.

Les infrastructures de proxys connues constituent une surface de détection hautement fiable

Cette attaque s’est entièrement appuyée sur des plages de proxys précédemment signalées. Un flux de renseignements sur les menaces bien entretenu et mis à jour en continu permettra de reconnaître une part significative du trafic dès le premier contact, avant même que les signaux comportementaux ne doivent être évalués.

La détection doit fonctionner à deux vitesses

Une attaque DDoS éclair et une vague d’attaques s’étalant sur plusieurs semaines constituent des problèmes distincts nécessitant des solutions différentes. L’attaque DDoS éclair exige une réponse automatisée en moins d’une seconde. La vague soutenue nécessite un modèle capable d’observer les schémas de trafic au fil du temps, d’identifier les anomalies émergentes et de générer de nouvelles règles à mesure que l’attaque évolue. Une couche de détection qui excelle dans l’un mais pas dans l’autre laissera des failles. La campagne liée à la Coupe du monde nous rappelle que ces deux menaces peuvent survenir simultanément, contre la même cible.

Si votre plateforme fait face à des attaques DDoS similaires, réservez une démo pour voir comment DataDome peut protéger vos sites web, applications, API et MCP sans ajouter de friction pour les utilisateurs légitimes.