Une vulnérabilité critique exposée

Une hackeuse professionnelle spécialisée en cybersécurité a révélé être parvenue à accéder aux caméras de plusieurs stades qui accueilleront la Coupe du monde 2026. Elle a mis en évidence une faille dans le système d'agents de la FIFA, l'instance internationale du football. L'experte a indiqué avoir pu prendre le contrôle des flux vidéo en direct, ce qui lui aurait permis de diffuser n'importe quel contenu à la place des images officielles.

Une clé API exposée sur GitHub

La découverte a débuté par la localisation d'une clé d'interface de programmation (API) laissée accessible sur la plateforme GitHub. Cette clé, baptisée FIFA Robot API, donnait accès au réseau de commande des caméras installées dans les stades. En utilisant cette clé, la hackeuse a pu se connecter à distance au système et visualiser les images captées par les caméras, confirmant ainsi l'absence de protection suffisante.

Un accès à plusieurs stades

Selon ses déclarations, elle a réussi à se connecter à plusieurs enceintes sportives situées dans différents pays hôtes du Mondial. Elle a pu observer les flux en direct, démontrant que la vulnérabilité n'était pas isolée à un seul site. L'experte a souligné qu'elle aurait pu remplacer le flux officiel par un mème Internet, sans que personne ne s'en aperçoive immédiatement, avant de préciser qu'elle ne l'a pas fait.

Des conséquences potentielles majeures

Cette brèche de sécurité expose les diffuseurs et les organisateurs à des risques considérables. Un attaquant malveillant aurait pu détourner la retransmission mondiale des matchs, diffuser des messages de propagande ou provoquer des interruptions. L'incident rappelle les défis de cybersécurité liés aux grands événements sportifs internationaux. La FIFA n'a pas encore commenté cette découverte.

Un signal d'alarme pour l'événement

Alors que la Coupe du monde 2026 doit se dérouler dans quelques mois, cette démonstration met en lumière la nécessité de renforcer les sécurités numériques. Les experts appellent à une révision complète des accès API et à une inspection des infrastructures connectées. La hackeuse, qui a agi de manière éthique, a présenté ses résultats à l'industrie avant de les rendre publics.