Nombre de lecteurs : 5
Coupe du monde 2026 : une faille FIFA permettait de détourner les flux TV mondiaux

Une faille de sécurité chez la FIFA expose les flux de la Coupe du Monde 2026

Pour devenir agent de football auprès de la FIFA, il suffit d’une pièce d’identité et d’une adresse e-mail. Cependant, cet accès simple ouvre la porte à des systèmes critiques, y compris ceux de production de la Coupe du Monde 2026, permettant potentiellement de détourner les flux vidéo diffusés en direct.

Un accès préoccupant

Le processus d’inscription sur le portail public de la FIFA, accessible à tous, permet de créer un compte d’agent en téléchargeant une pièce d’identité et en confirmant une adresse e-mail. Un chercheur en cybersécurité, connu sous le pseudonyme de BobDaHacker, a découvert que ce compte était lié au tenant Microsoft Entra de la FIFA, qui donne accès à de nombreuses plateformes internes.

Lors de ses recherches, BobDaHacker a tenté d’accéder à d’autres services, comme la Football Data Platform. Bien que le système ait rejeté sa demande côté navigateur, le serveur n’a jamais bloqué son accès, ce qui a permis à l’utilisateur d’explorer des données sensibles.

Cette vulnérabilité, connue sous le nom de broken access control, est un problème récurrent dans le domaine de la cybersécurité, où des failles similaires ont été observées dans d’autres systèmes.

Accès au tableau de bord de production

En contournant les protections côté client, le chercheur a pu accéder au Streaming Management panel, un tableau de bord crucial pour la production en direct de la Coupe du Monde 2026. Chaque match expose plusieurs flux vidéo, incluant des caméras et des URL d’ingestion pour la diffusion. Si une personne malintentionnée avait eu accès à ces informations, elle aurait pu remplacer le flux principal diffusé à travers le monde, entraînant des conséquences catastrophiques.

BobDaHacker a souligné que quelqu’un avec des intentions malveillantes aurait pu diffuser des contenus inappropriés en direct, affectant ainsi l’image de la FIFA et l’intégrité de l’événement.

Accès aux informations de gestion des matchs

De plus, le chercheur a constaté qu’il avait un accès en écriture à la gestion des matchs et au Commentator Information System. Cela aurait permis de modifier des éléments critiques en temps réel, tels que les scores, les statistiques et même l’heure de coup d’envoi des rencontres.

Signalement chaotique de la faille

La manière dont cette faille a été signalée à la FIFA a été tout aussi problématique. Selon BobDaHacker, l’organisation ne disposait d’aucune politique de divulgation des vulnérabilités ni de programme de bug bounty. Après une nuit à essayer de joindre des responsables, il a finalement contacté la CISA et le FBI pour signaler le problème. La faille a été corrigée rapidement, mais cela soulève des questions sur la gestion de la cybersécurité au sein de la FIFA.

Ce cas met en lumière l’importance d’une vérification adéquate des rôles côté serveur pour éviter des accès non autorisés à des systèmes sensibles.

Source : BobDaHacker

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *