Une hackeuse éthique a accédé au panneau de gestion du streaming de la Coupe du monde 2026 en s’inscrivant simplement comme agent FIFA. Clés de flux, URLs d’ingest RTMP, contrôles start/stop : tout était là, ouvert à n’importe quel compte sans rôle.

Cinq jours après le coup d’envoi du Mondial, une chercheuse en sécurité connue sous le pseudonyme Bobdahacker publiait un billet de blog qui a de quoi faire froid dans le dos. Le point de départ : agents.fifa.org, le portail public permettant à quiconque de demander une licence d’agent de joueurs. Il suffit d’envoyer une pièce d’identité. Après deux refus pour des photos jugées non conformes, sa troisième tentative passe. Et c’est là que tout déraille, côté sécurité.
Une inscription publique comme passe-partout vers l’infrastructure critique
Le problème n’est pas l’inscription en elle-même, mais ce qu’elle déclenche en coulisses. En créant un compte sur agents.fifa.org, la FIFA intègre automatiquement le nouveau membre à son annuaire Microsoft Entra, le même tenant qui alimente l’ensemble des plateformes internes de l’organisation. Concrètement, un compte d’agent de joueurs et un accès aux outils de production du Mondial partagent la même porte d’entrée.

Bobdahacker tente alors de se connecter à la Football Data Platform (fdp.fifa.org). L’interface Angular lui affiche bien un message d’accès refusé, marqueur « NO_ROLES » dans le JWT. Sauf que cette restriction ne fonctionne que côté client. Les serveurs, eux, ne vérifient rien : ils répondent normalement à toutes les requêtes, quel que soit le niveau d’autorisation du compte. Une faille d'autorisation côté serveur aussi basique qu’elle est catastrophique.
Clés de flux, contrôles live et données commentateurs : l’étendue du désastre
Derrière cette barrière en carton, Bobdahacker découvre le panneau de gestion du streaming en production, pas un environnement de test. Chaque match de la Coupe du monde 2026, avec ses cinq angles de caméra (PGM, Tactique, Caméra 1, High Behind Left, High Behind Right), ses URLs d’ingest RTMP et ses clés de flux. Pour confirmer que les liens sont bien actifs, elle ouvre l’un des flux de prévisualisation dans VLC depuis Tokyo. C’est du direct. Elle referme immédiatement.
Le panneau ne se limite pas à la lecture. Les boutons start, stop et schedule sont là, fonctionnels, accessibles à n’importe quel compte NO_ROLES. Un attaquant aurait pu couper une caméra en plein match, ou pire : pousser son propre signal vidéo vers les URLs RTMP pour remplacer le flux PGM, celui qui part directement aux chaînes de télévision. D’où le titre de l'article de Bobdahacker : « J'aurais pu rickroller toute la Coupe du monde ». La chercheuse a également accédé au Commentator Information System, le tableau de bord temps réel des commentateurs, avec la possibilité de modifier les notes éditoriales et les statistiques publiées à l’antenne. Sans oublier des fichiers internes hébergés sur Azure, dont des rapports de transferts et des données financières, accessibles sans aucune vérification de rôle. La menace cyber autour de la Coupe du monde ne se limite décidément pas aux arnaques visant les supporters.
Alerter la FIFA a tenu du parcours du combattant. Selon la chercheuse, emails sans réponse, lignes injoignables : elle affirme avoir dû contacter MediaKind (le prestataire streaming), la CISA et le FBI à 3h du matin, heure de Tokyo, pour être entendue. La faille a finalement été corrigée. La FIFA n’a jamais répondu officiellement, ni même accusé réception du rapport.
Ce qui frappe dans cette affaire, c’est moins la sophistication de l’attaque que son absence totale. Pas d’exploit, pas de zero-day : une pièce d’identité, un compte public, et une vérification d’autorisation oubliée côté serveur. Pour un événement diffusé à 3 milliards de téléspectateurs, la marge entre le scénario catastrophe et la réalité tenait à la bonne foi d’une chercheuse. Reste à savoir si la FIFA tirera les leçons de cet épisode avant la prochaine compétition, ou si un autre portail public attend tranquillement d’être testé.