Faille FIFA : une hackeuse aurait pu couper la diffusion de la Coupe du Monde 2026 en un clic

Une hackeuse éthique découvre une faille critique sur Fifa.org, donnant accès aux flux RTMP et au contrôle total du streaming de la Coupe du Monde 2026.

Les flux streaming de la FIFA world cup piratés

Une hackeuse éthique a identifié une faille critique via la plateforme de la FIFA dédiée aux agents des joueurs lui permettant d’accéder, sans autorisation, à l’ensemble des flux RTMP (flux streaming audio / vidéo) des matchs de la Coupe du Monde de Football 2026. 

Comment ? Il a suffit à notre hackeuse de s’inscrire à agents.fifa.org, la plateforme pour s’enregistrer en tant qu’agent de joueur. La FIFA enregistre ensuite son compte dans son tenant Microsoft Entra (ex Microsoft Azure AD). Sans authentification ni vérification côté serveur, le hackeur a pu accéder à la plateforme officielle de diffusion des matches, avec les droits pour démarrer, modifier ou arrêter la diffusion de n’importe quel match.

Ce n’était pas un environnement de développement. Ce n’étaient pas des données de test. C’était le panneau de gestion du streaming en production pour la Coupe du Monde de la FIFA 2026. Chaque match. Chaque angle de caméra. Chaque URL d’ingestion RTMP. Chaque clé de flux.

J'aurais pu arrêter la diffusion de n'importe quel match

Ce n’était pas seulement un accès en lecture. Le panneau de gestion du streaming offrait un contrôle total. Démarrer, arrêter, planifier. Pour chaque match. Chaque angle de caméra.

Un clic. C’est tout ce qu’il aurait fallu pour couper un flux en direct de la Coupe du Monde.

Hack FIFA World Cup arrêt diffusion match football

Et ce n'est pas tout !

Le panneau de gestion du streaming n’était pas la seule chose exposée. Son compte NO_ROLES avait accès à l’ensemble de la plateforme.

Compétitions, Matchs, Équipes, Outils, Plateforme d’échange, Tableau de bord d’analyse, système d’information des commentateurs, FIFA AI Pro, Admin. Tout était accessible.

La plateforme disposait également d’un tableau de bord complet pour les matchs en direct, avec un lecteur vidéo intégré, une chronologie des événements en temps réel et les données officielles des matchs.

Toujours depuis son compte NO_ROLES,  notre hackeur pouvait accéder à l’onglet Gestion sur fdp.fifa.org, lui permettant d’effectuer des opérations en écriture. Et le backend les accepte… C’est à dire qu’il aurait pu écrire n’importe quelle information, ou éléments autobiographique d’un joueur, qui aurait alors été lu en direct par les commentateurs du monde entier.

Quand un commentateur dit « Fun fact : Enner Valencia, à 36 ans et 222 jours, est le joueur de champ le plus âgé à avoir joué un match de Coupe du Monde avec l'Équateur », c’est de là que ça vient. Mon compte avait accès à toutes les notes éditoriales, à tous les kits de statistiques pré-match, à tous les points de discussion préparés pour chaque rencontre.

L'immense difficulté pour informer la FIFA de cette faille critique

La hackeuse a découvert cette faille de configuration mi juin, soit pendant la Coupe du Monde. Les matchs se déroulaient. Les URLs RTMP étaient actives. Les clés de flux étaient exposées. Et de manière très surprenante pour une organisation de cette taille, la FIFA n’a ni programme de bug bounty, ni fichier security.txt, ni contact sécurité publié.

L’experte en sécurité liste alors l’ensemble des initiatives pour tenter de contacter la FIFA afin de corriger la faille : emails, whatsapp, téléphone, contact avec les partenaires technologiques… et même le CISA et le FBI.

Le lendemain, la FIFA corrige finalement la faille, mais sans aucune réponse donnée au hackeur. Ni confirmation de la réception du rapport, ni remerciement … quelle ingratitude.

Explication de la faille critique ayant impactée la plateforme de diffusion vidéo de la FIFA

Voici les détails techniques partagés par la hackeuse :

Tout se résume à une seule erreur d’architecture : une autorisation gérée côté client, sans application côté serveur.

Les applications internes de la FIFA utilisent Microsoft Entra pour l’authentification et le contrôle d’accès basé sur les rôles. Les interfaces côté client (Angular/React/Vue) vérifient les revendications de rôle dans le token JWT et affichent en conséquence des pages d’accès refusé. Mais les API backend font confiance à tout membre authentifié du tenant et fournissent les données sans tenir compte des rôles.

La chaîne d’attaque :

  • S’inscrire sur agents.fifa.org (public)
  • Être ajouté au tenant Entra de la FIFA
  • S’authentifier auprès de n’importe quelle application interne de la FIFA
  • Le client dit « accès refusé »
  • Le serveur dit « voici tout »

Ce schéma a touché au moins :

  • fdp.fifa.org (Football Data Platform)
  • cis.fifa.org (Commentator Information System)
  • xxxxxxxxx-spreadsheets-api.azurewebsites.net (environnement de développement)

Et potentiellement d’autres applications utilisant le même tenant.

Cette faille nous montre que nulle organisation n’est à l’abri d’un piratage. La FIFA peut s’estimer chanceuse d’être tombée sur un hackeur éthique, car l’impact d’un EXPLOIT aurait pu être planétaire (voir la cyberattaque ayant touchée TV5 Monde). 

Par Clément Donzel

Vous l'avez lu ? Qu'en avez-vous pensé ?

Leave A Comment

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

trois × cinq =

RESTONS EN CONTACT

Restons en contact newsletter

Illustration by Rose Wong

Prêts à regarder la Tech sous un autre angle ?

Une fois par mois, on décrypte l’actu Tech & Cyber.

Saisissez votre email