Coupe du monde 2026 : une vulnérabilité critique dans le système d’agents de la FIFA expose les flux TV

Une brèche dans le système d’authentification

À moins de deux semaines du coup d’envoi de la Coupe du monde 2026, une vulnérabilité majeure a été identifiée au sein de l’infrastructure numérique de la FIFA. Un chercheur en sécurité, agissant sous le pseudonyme BobDaHacker, a démontré qu’il était possible, à partir d’un simple compte d’agent de football créé sur le portail public agents.fifa.org, d’obtenir un accès non autorisé à des plateformes internes cruciales, dont celles gérant les flux vidéo destinés aux diffuseurs du monde entier.

Le processus d’enregistrement sur le site des agents est rudimentaire : il suffit de fournir une pièce d’identité et une adresse électronique pour obtenir un compte. Ce compte est ensuite automatiquement intégré au système d’authentification unique de la FIFA, basé sur Microsoft Entra. En théorie, les nouveaux agents ne devraient pouvoir accéder qu’à des services limités. Mais le chercheur a constaté que la vérification des droits s’effectuait uniquement côté client, dans le navigateur, tandis que les API du backend ne contrôlaient pas les autorisations des utilisateurs authentifiés.

Un contrôle d’accès défaillant

Concrètement, BobDaHacker a tenté d’accéder à la Football Data Platform (FDP), une infrastructure centrale pour la gestion des données du tournoi. L’interface graphique a bien affiché un message d’accès refusé, faute de rôle approprié dans le jeton JWT. Cependant, le serveur a répondu favorablement à la requête lorsque celle-ci était envoyée directement via l’API, sans passer par l’interface Angular. Le backend, en effet, ne validait pas les droits de l’utilisateur ; il se contentait de servir les données à toute personne disposant d’un jeton d’authentification valide, quel que soit son niveau d’habilitation.

Ce type de vulnérabilité, connu sous le nom de « broken access control » (contrôle d’accès défaillant), figure parmi les failles les plus critiques en sécurité des applications. Dans le cas présent, elle ouvre la voie à des actions potentiellement dévastatrices : accès aux flux vidéo en direct des matchs, modification des scores affichés, interruption intempestive des retransmissions, ou encore extraction de données sensibles.

Aucun correctif ni canal de signalement

Le chercheur a tenté de contacter la FIFA pour l’alerter de cette faille, mais s’est heurté à l’absence de programme de bug bounty et à l’impossibilité de soumettre un rapport de vulnérabilité officiel. Aucune réponse n’a été reçue, ce qui laisse la brèche ouverte à la veille du plus grand événement sportif planétaire.

Cette découverte s’ajoute à une série d’alertes récentes concernant la cybersécurité de la Coupe du monde 2026. Des campagnes de fraude massives, incluant la création de faux sites imitant la billetterie officielle, ont déjà été signalées. La vulnérabilité technique identifiée aujourd’hui frappe cette fois au cœur même des systèmes de production, exposant la fédération à des risques de manipulation en temps réel.

Des conséquences potentielles inquiétantes

Bien que BobDaHacker n’ait pas exploité la faille au-delà de la démonstration de son existence, il a prouvé qu’il pouvait non seulement consulter des données internes, mais aussi envoyer des commandes vers des API critiques. La perspective qu’un acteur malveillant puisse, par exemple, couper le flux vidéo d’un match décisif ou altérer l’affichage des scores en direct est prise très au sérieux par les experts en cybersécurité sportive.

La FIFA, contactée par plusieurs canaux, n’a pas communiqué publiquement sur cette faille ni annoncé de correctif. L’organisation dispose de quelques jours seulement pour sécuriser ses plateformes avant le début de la compétition, prévu le 11 juin 2026.

Un appel à la vigilance

Cette affaire met en lumière les lacunes persistantes dans la sécurité des systèmes d’information des grandes organisations sportives. L’absence de processus structuré pour la réception et le traitement de rapports de vulnérabilité aggrave le danger, puisqu’elle prive les entités concernées d’informations précieuses pour corriger les failles avant qu’elles ne soient exploitées.

En l’état, la brèche identifiée par BobDaHacker constitue une menace sérieuse pour l’intégrité des retransmissions de la Coupe du monde 2026, et les organisateurs sont désormais en course contre la montre pour la refermer avant le premier coup de sifflet.