Pour devenir agent de football auprès de la FIFA, il suffit d’une pièce d’identité et d’une adresse e-mail. Le problème, c’est que ce simple accès ouvre bien plus que la plateforme des agents : il donne accès aux systèmes de production de la Coupe du monde 2026, jusqu’aux flux vidéo diffusés en direct sur les télévisions du monde entier.

Un compte d’agent et toutes les portes s’ouvrent !

Tout commence sur , le portail public qui permet à quiconque de se déclarer agent de football. On téléverse sa pièce d’identité, on confirme son adresse e-mail, et le compte est créé. Une première porte s’ouvre.

Sauf qu’un chercheur surnommé BobDaHacker est parvenu à faire bien plus que ce qu’il aurait dû pouvoir faire à l’aide de cet accès. Tout d’abord, il faut savoir que ce compte est ajouté au tenant Microsoft Entra de la FIFA. Ce même tenant est relié à l’ensemble des plateformes internes de la FIFA.

Dans le cadre de son travail de recherche, il a tenté d’accéder à d’autres services, dont , la Football Data Platform. Réponse du service : accès refusé, aucun rôle attribué à ce compte. Normal, me direz-vous ?

Le problème, c’est que ce refus n’existait que côté navigateur. Le serveur, lui, n’a jamais refusé la demande de BobDaHacker, puisque c’est l’application Angular en elle-même qui a pris cette décision via la lecture du jeton . Sauf que les API du backend, elles, ne vérifiaient rien et servaient les données à n’importe quel utilisateur authentifié.

Ce type de faille n’est pas inconnu et la technique porte d’ailleurs un nom : broken access control. Elle rappelle d’autres cas, où un simple accès en lecture seule peut mener à une exécution de code à distance, comme cette vulnérabilité Kubernetes.

Couper un match ou modifier les scores en direct

Ces protections positionnées côté client ont été contournées par le chercheur, ce qui lui a permis d’accéder au Streaming Management panel. Accrochez-vous bien, il s’agit du tableau de bord de production en direct de la Coupe du monde 2026. Chaque rencontre, chaque angle de caméra, chaque flux. Selon son rapport, chaque match exposait cinq caméras (, , , et deux caméras en hauteur), chacune accompagnée :

• D’une URL d’ingestion , là où la caméra envoie la vidéo,
• D’un manifeste de prévisualisation, pour regarder le flux en direct,
• D’une URL de sortie () destinée aux diffuseurs partenaires.

L’infrastructure de diffusion repose sur MediaKind, le partenaire technologique de la FIFA. Et la clé de flux, identique pour les cinq caméras d’un même match, figurait directement dans l’URL. Si quelqu’un de malintentionné avait obtenu le même accès que BobDaHacker, il aurait pu remplacer le flux principal envoyé à toutes les chaînes recevant le signal FIFA. Imaginez l’impact potentiel : diffusion d’images de propagande, ou tout simplement blackout, cela aurait vraiment pu être la….!

“Un pirate aurait pu « rickroller » toute la Coupe du monde de la FIFA. Ou diffuser une partie de Subway Surfers. En direct. Sur toutes les chaînes de télévision du monde entier. En plein match.”, ironise le chercheur.

L’accès à la diffusion des matchs, c’est une chose, mais cela ne s’arrête pas là. Grâce à ce même compte, sans privilège spécifique en théorie, il disposait d’un accès en écriture à la gestion des matchs et au Commentator Information System (). De quoi, potentiellement, bien s’amuser puisqu’il était possible de :

• Modifier scores et statistiques en temps réel,
• Ajuster l’heure de coup d’envoi d’une rencontre,
• Modifier les notes lues par les commentateurs à l’antenne.

Malgré toutes ces permissions, l’Italie n’aurait toujours pas pu participer à cette Coupe du monde (elle était facile, celle-ci).

“Ce qui distingue la FIFA, c’est la gravité de ce qui a été exposé, pas la vulnérabilité elle-même.”, précise le chercheur. Un type de mauvaise configuration côté identité qui n’épargne personne, comme l’ont montré les attaques par pulvérisation de mots de passe contre des dizaines de milliers de comptes Entra ID.

Aucun moyen de signaler la faille

Terminons cette histoire en évoquant la façon dont la faille de sécurité a été signalée à la FIFA. C’était chaotique.

Selon le chercheur, la FIFA ne disposait d’aucune politique de divulgation des vulnérabilités () ni d’aucun programme de bug bounty. Résultat : une nuit entière à tenter de joindre quelqu’un. E-mails restés sans réponse, appels à Zurich, à MediaKind, à HBS, et finalement à la CISA et au FBI.

C’est là que le chercheur a découvert que l’agence américaine CISA est justement le pilote fédéral de la cybersécurité pour la Coupe du monde 2026. “J’ai dû appeler la CISA et le FBI parce que la FIFA rendait impossible tout signalement direct.”, explique-t-il dans son rapport. Et là, c’était la panique à bord : la faille a été corrigée dès le lendemain : le compte sans rôle reçoit désormais une réponse côté serveur, et non plus un simple refus côté client.

Ce qu’il faut retenir : s’il n’y a que votre frontend qui vérifie l’attribution de rôles, alors votre application est probablement vulnérable.