Imaginez la finale de la Coupe du Monde 2026. Alors que des millions de fans attendent le dénouement, l’image saute et laisse place à une vidéo parodique de bachata ou à une partie de Subway Surfers. Ce scénario n’est pas une fiction : un chercheur en sécurité a récemment prouvé qu’il tenait entre ses mains les commandes de diffusion mondiale de la FIFA, tout cela grâce à une simple inscription sur un portail public.
Un chercheur, connu sous le pseudonyme de “bobdahacker*” décide de s’inscrire sur la FIFA Agent Platform, un portail ouvert à tous ceux souhaitant devenir agent de football licencié. Après avoir soumis une pièce d’identité et validé son email, il obtient son accès. Ce qu’il ignore alors, c’est qu’en coulisses, ce compte vient d’être injecté dans le tenant Microsoft Entra (Azure AD) de la FIFA, le même annuaire d’identité qui gère toutes les plateformes internes et critiques de l’organisation.
La confusion fatale entre authentification et autorisation
En naviguant vers la plateforme de données de football, le chercheur se heurte d’abord à un message “Accès refusé”. Mais cette barrière n’est qu’une façade : l’application front-end (Angular) détecte l’absence de rôle spécifique et affiche cette page par défaut. En réalité, les API du backend ne vérifient rien. Elles servent les données à n’importe quel membre authentifié de l’annuaire.
Voilà le cœur du problème technique, à savoir une vulnérabilité de type IDOR (Insecure Direct Object Reference) et un défaut de contrôle d’accès côté serveur (CWE-602). Une fois ce garde-fou visuel contourné, le chercheur accède au panneau de gestion du streaming en production. Sous ses yeux s’affichent tous les matchs de la Coupe du Monde, avec les commandes pour démarrer, arrêter ou planifier les flux en direct. Plus grave encore, il accède aux clés de flux (stream keys) et aux URL d’ingestion RTMP, le “tuyau” direct entre les caméras du stade et les diffuseurs du monde entier. S’il avait poussé une vidéo vers ces points d’ingestion, elle aurait remplacé le flux officiel sur toutes les télévisions de la planète.
L’odyssée du signalement dans un désert de communication
Réalisant l’ampleur de sa découverte en plein milieu de la compétition, le chercheur tente de prévenir la FIFA. C’est alors que commence un véritable marathon nocturne. Malgré ses emails à la protection des données, au service juridique et même des messages WhatsApp au responsable technique de la FIFA, il ne reçoit aucune réponse. La FIFA ne dispose ni de fichier `security.txt`, ni de programme de “bug bounty”.
Face à l’urgence, il doit multiplier les appels : le siège à Zurich est fermé, le centre de diffusion à Dallas ne répond pas. Le dénouement vient finalement d’appels à des partenaires techniques (MediaKind) et à des agences fédérales américaines, la CISA et le FBI, pour que l’information remonte enfin.
Quelques heures plus tard, la faille est colmatée en silence et le serveur renvoie désormais des erreurs “403 Forbidden”. La FIFA n’a jamais envoyé de remerciements, ni même accusé réception du rapport, bien que le chercheur continue de recevoir, par une ironie du sort, des documents tactiques confidentiels via une liste de diffusion automatisée qu’ils ont oublié de nettoyer.
