https://cyberveille.ch/tags/broken-access-control/ Recent content in Broken-Access-Control on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 21 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-21-fifa-world-cup-2026-faille-d-autorisation-cote-client-expose-l-infrastructure-de-streaming-en-production/ Sun, 21 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-21-fifa-world-cup-2026-faille-d-autorisation-cote-client-expose-l-infrastructure-de-streaming-en-production/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 16 juin 2026 sur le blog personnel BobDaHacker, cet article est un post-mortem détaillé rédigé par un chercheur en sécurité basé à Tokyo. Il décrit la découverte et la divulgation responsable d&rsquo;une <strong>vulnérabilité d&rsquo;autorisation critique</strong> affectant l&rsquo;infrastructure numérique de la FIFA pendant la Coupe du Monde 2026.</p> <h2 id="-vecteur-daccès-initial">🎯 Vecteur d&rsquo;accès initial</h2> <p>Le chercheur s&rsquo;est inscrit sur <strong>agents.fifa.org</strong> (FIFA Agent Platform, ou FAP), un portail public permettant de s&rsquo;enregistrer comme agent de football. Cette inscription a automatiquement créé un compte dans le <strong>tenant Microsoft Entra (Azure AD) partagé de la FIFA</strong>, utilisé par l&rsquo;ensemble des plateformes internes de l&rsquo;organisation.</p>