NoésisNEWS
Intermédiaire·3 min·16 juin 2026

FIFA s'est fait pirater par un agent de foot

🎧 Résumé audio0:00 / 0:00
Un chercheur en sécu s'inscrit comme agent FIFA et accède aux flux live du Mondial 2026. Sans même essayer.
FIFA s'est fait pirater par un agent de foot

Pourquoi ça compte pour toi

Ce n'est pas juste une faille : c'est l'infrastructure complète du Mondial 2026 exposée — caméras, scores, commentaires, tout contrôlable par n'importe qui avec un compte gratuit. FIFA n'avait pas de bug bounty ni de contact sécu pour signaler le truc. C'est le genre d'incident qui montre comment même les organisations massives oublient les basiques.

Ce qu'il faut retenir

  • 1.Un chercheur en sécu s'inscrit sur la plateforme agents FIFA, puis accède à tout fdp.fifa.org sans permissions
  • 2.Les contrôles d'accès étaient côté frontend Angular uniquement — les APIs backend ne vérifiaient rien
  • 3.Accès complet aux URLs d'ingestion RTMP et clés de stream des 5 caméras par match du Mondial 2026
  • 4.Un attaquant aurait pu remplacer les flux live (rickroller le Mondial en direct sur tous les écrans)
  • 5.Aussi accès en écriture : modification des scores, commentaires, compositions tactiques affichés à la TV
  • 6.Bonus : une Azure Function exposant 23 fichiers internes FIFA sur Azure Blob Storage

Tu galères avec le jargon ?

Lis la version réécrite en mode débutant — toutes les idées, sans le jargon.

Comment on en est arrivé là

Tout commence bêtement. Le chercheur s'inscrit sur agents.fifa.org pour devenir agent de foot licencié. Tu dois soumettre ton ID, vérifier ton email, c'est fini. Sauf que FIFA rajoute ton compte à leur tenant Microsoft Entra — le même qui gère toutes leurs plateformes internes.

La première vraie faille vient après. Quand tu accèdes à fdp.fifa.org (la Football Data Platform), l'app Angular regarde ton JWT, voit que tu as zéro rôle, et t'affiche un gentil « Sorry, you do not have any FIFA Football Data Platform role assigned ». C'est une vérification côté client. Vanille. Les APIs backend ? Elles ne vérifiaient rien.

Ce qui était accessible

Une fois les gardes Angular contournées, le chercheur atterrit sur le Streaming Management Panel — l'interface pour gérer tous les flux du Mondial 2026.

Chaque match. Cinq angles de caméra. Chacun avec :

  • Une URL d'ingestion RTMP (où la caméra envoie la vidéo)
  • Un manifeste de prévisualisation (pour regarder le flux)
  • Une URL de sortie HLS (vers les partenaires de diffusion)

Le truc qui tue : les URLs RTMP contenaient la clé de stream directement dedans. Pas cachée, pas obscurisée. Et cette clé ? Elle était identique pour les 5 caméras du même match.

Le pire scénario

Le chercheur ouvre VLC, copie une URL de prévisualisation dedans. C'est un flux live d'une caméra tactique en action. En provenance d'un vrai match du Mondial 2026. En train de se jouer.

Mais ce n'était que de la lecture. L'interface proposait aussi des contrôles : start, stop, schedule. Un clic suffirait pour arrêter n'importe quel flux de caméra.

Et si quelqu'un avait poussé du contenu vers l'une des URLs d'ingestion RTMP (avec la clé exposée) ? Le flux aurait été remplacé. Le feed PGM (celui du broadcast principal) aurait été détourné. Chaque réseau TV recevant le flux FIFA aurait montré ce que l'attaquant avait envoyé. Le Mondial rickrollé en direct. Partout. Simultanément.

Au-delà des streams

C'est encore pire. Le compte sans rôle avait accès à :

  • Le Commentator Information System — le tableau de bord temps réel que les commentateurs utilisent. Chaque stat, chaque note, préparée pour chaque match.
  • L'onglet Match Management — avec accès en écriture. Un attaquant aurait pu modifier les scores affichés à la TV, ajuster le coup d'envoi officiel, envoyer de fausses compositions tactiques.
  • Une Azure Function qui balançait des URLs de téléchargement direct vers 23 fichiers internes FIFA : rapports de transferts, données de revenus, stats d'arbitres.

L'horreur du signalement

Le Mondial était en cours. Les matches se jouaient. FIFA n'avait pas de programme de bug bounty, zéro security.txt, aucun contact sécu publié. Le chercheur a dû appeler FIFA, MediaKind, HBS, la CISA, et le FBI à 3h du matin heure de Tokyo pour que quelqu'un écoute.

FIFA a corrigé sans jamais lui répondre directement.

À retenir

Cette histoire démontre que même les organisations globales massives se ratent sur des basiques : vérifier les permissions côté backend, pas juste frontend. Et avoir au moins un putain de formulaire pour qu'un chercheur puisse signaler un incident sans appeler le FBI.

Et concrètement pour toi ?

Choisis ton profil — la lecture de l'article change selon qui tu es.

🔭 Curieux

Pour toi, retiens que les géantes organisations oublient les basiques : FIFA aurait pu perdre le contrôle de son Mondial en direct. Aucune magie IA là-dedans, juste une permission mal vérifiée. C'est pour ça que la sécu reste l'étape 0, pas bonus.

Source

#secu#fifa#web-app#api#architecture

📊 Cours en bourse

MSFT

Microsoft

Voir le cours + analyse →
🎓

Pour aller plus loin

Cet article t'a donné envie d'approfondir ? Deux formations Noésis t'attendent :

Masterclass · 49 €

Prompt Engineering

8 chapitres + 50 prompts prêts à copier + PDF

Formation vidéo · 79 €

IA Fondations

12 leçons vidéo pour comprendre et utiliser l'IA

Newsletters Noésis

3 minutes d'IA dans ta boîte mail, chaque matin.

Rejoins les francophones qui comprennent, essaient et progressent avec l'IA. Choisis ce que tu veux recevoir. Désabonnement en 1 clic.

Explorer les thèmes de cet article :

🤖 Agents IA💻 IA pour développeurs