🔍 Contexte

Publié le 16 juin 2026 sur le blog personnel BobDaHacker, cet article est un post-mortem détaillé rédigé par un chercheur en sécurité basé à Tokyo. Il décrit la découverte et la divulgation responsable d’une vulnérabilité d’autorisation critique affectant l’infrastructure numérique de la FIFA pendant la Coupe du Monde 2026.

🎯 Vecteur d’accès initial

Le chercheur s’est inscrit sur agents.fifa.org (FIFA Agent Platform, ou FAP), un portail public permettant de s’enregistrer comme agent de football. Cette inscription a automatiquement créé un compte dans le tenant Microsoft Entra (Azure AD) partagé de la FIFA, utilisé par l’ensemble des plateformes internes de l’organisation.

🐛 Vulnérabilité identifiée

La faille repose sur une autorisation exclusivement côté client sans enforcement côté serveur :

  • Les frontends Angular/React/Vue vérifient le JWT pour un marqueur NO_ROLES et affichent une page « accès refusé »
  • Les API backend ne vérifient aucun rôle et servent toutes les données à tout membre authentifié du tenant
  • Tout compte enregistré via agents.fifa.org devient membre du tenant et peut contourner les contrôles visuels

💥 Données et systèmes exposés

Après contournement des gardes côté client, le chercheur a accédé à :

  • fdp.fifa.org (Football Data Platform) : panneau de gestion du streaming avec contrôles start/stop/schedule pour chaque match et chaque angle caméra
  • Flux RTMP live : URLs d’ingest avec clés de stream exposées en clair (format rtmp://in-[UUID].westeurope.streaming.mediakind.com:1935/[stream-key]), hébergées sur l’infrastructure MediaKind
  • 5 angles caméra par match : PGM (programme principal), Tactical, Camera1, High Behind Left, High Behind Right — chacun avec URL d’ingest RTMP, manifest de prévisualisation HLS et URL de sortie broadcast
  • cis.fifa.org (Commentator Information System) : dashboard temps réel utilisé par les commentateurs TV avec notes éditoriales, statistiques, compositions tactiques
  • Panneau de gestion avec accès en écriture : modification des scores, statistiques, moment du coup d’envoi, compositions tactiques, données publiées vers les systèmes broadcast
  • Azure Function App (xxxxxxxxx-spreadsheets-api.azurewebsites.net) : accès à 23 fichiers internes FIFA via Azure Blob Storage (rapports de transferts, données financières, statistiques arbitres)
  • Sections : Competitions, Matches, Teams, Tools, Exchange Platform, Analysis Dashboard, FIFA AI Pro, Admin

⚡ Impact potentiel

Un attaquant aurait pu :

  • Remplacer le flux vidéo principal (PGM) diffusé sur tous les réseaux TV mondiaux en poussant du contenu arbitraire vers les endpoints RTMP
  • Interrompre tous les flux caméra d’un match simultanément (clé de stream partagée entre les 5 angles)
  • Modifier les scores et statistiques officiels publiés en direct à la télévision
  • Injecter de fausses informations dans le Commentator Information System

📞 Processus de divulgation

Face à l’absence de bug bounty, security.txt ou contact sécurité publié, le chercheur a contacté dans l’ordre : emails FIFA (5 bounces), WhatsApp à Sebastian Runge (Head of Football Technology & Data, FIFA), FIFA Zurich (+41 43 222 7777, fermé), FIFA Media Line (+41 43 222 7272, fermé), Dallas Convention Center (+1 214 939-2700, messagerie), MediaKind (+1 833 211 8472, réponse positive), HBS (+41 41 726 0090, raccrochage), Infront Sports & Media (+41 41 723 15 15, sans réponse), CISA centre opérationnel 24/7 (+1 888 282 0870, réponse positive), FBI via Signal (réponse positive).

🔧 Correction

La vulnérabilité a été corrigée le lendemain de la divulgation : les API backend retournent désormais des réponses HTTP 403 pour les comptes sans rôle. La FIFA n’a jamais répondu au chercheur.

📄 Nature de l’article

Post-mortem technique détaillé rédigé par le découvreur de la vulnérabilité, visant à documenter publiquement la faille, le processus de divulgation et les défaillances organisationnelles de la FIFA en matière de sécurité.

🧠 TTPs et IOCs détectés

TTP

  • T1078 — Valid Accounts (Initial Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
  • T1530 — Data from Cloud Storage (Collection)
  • T1213 — Data from Information Repositories (Collection)

IOC

  • Domaines : agents.fifa.orgVT · URLhaus · ThreatFox
  • Domaines : fdp.fifa.orgVT · URLhaus · ThreatFox
  • Domaines : cis.fifa.orgVT · URLhaus · ThreatFox
  • URLs : rtmp://in-6c81fcc99-513f-4c76-82c2-877e0b93f2ea.westeurope.streaming.mediakind.com:1935/96886a14-9987-420f-814c-2f7cec5408aeURLhaus
  • Emails : no_reply@fdp.fifa.org
  • Fichiers : 00_TransferCount_in_ENGLISH.xlsx
  • Fichiers : 0_pending_transfers_example.xlsx
  • Fichiers : Debbie.xlsx

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ bobdahacker.com — source non référencée (0pts)
  • ✅ 28148 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 8 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/4 IOCs confirmés externellement (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://bobdahacker.com/blog/fifa-hack?utm_source=infosec-mashup.santolaria.net&utm_medium=newsletter&utm_campaign=infosec-mashup-25-2026-client-side-authorization-is-not-authorization