Une hackeuse éthique a accédé au panneau de gestion du streaming de la Coupe du monde 2026 en s’inscrivant simplement comme agent FIFA. Clés de flux, URLs d’ingest RTMP, contrôles start/stop : tout était là, ouvert à n’importe quel compte sans rôle.
Drôle quand on sait tous les efforts mis contre les IPTV pirates, là c’est carrément les flux bruts et interactifs ![]()
Elle aurait pu faire comme Amélie Poulain sur le toit !
Les bras m’en tombent … ou pas …
Toujours pareil, pourquoi mettre une telle infrastructure critique accessible sur Internet et non derrière par exemple un VPN ?
Enfin, dans le cas présent, encore faudrait-il un contrôle d’accès digne de ce nom. ![]()
Encore des champions. ![]()
Clairement. ![]()
De mon point de vue, la faille se situe au niveau de la vérification de ses photos lors de la création de son compte, je suis surpris qu’elle ait pu faire du forcing.
Après pour une authentification forte au site internet gents.fifa.org, on pourrait imaginer authentification exclusive via un certificat client SSL à intégrer sur le poste du client (notamment dans le magasin de Firefox), une authentification mTLS. Le serveur Web peut ainsi vérifier qui peut se connecter. Le certificat serait envoyé après vérification de l’identité de la personne. Le tunnel VPN est un peu overkill pour accéder à un site.
Mais je pense que dans tous les cas, la faille ne soit pas la méthode d’authentification mais la vérification de l’identité au moment de la création
du compte
Parce que c’est plutôt « normal » que beaucoup de monde y accède, ça concerne visiblement le staff des équipes qui doivent pouvoir visionner les matchs pour les analyser. Ça reste derrière un système sécurisé, c’est juste qu’il y avait une faille.
Non, ici l’inscription dans Microsoft Entra se fait immédiatement mais « sans aucun droit », c’est donc cohérent et plutôt protéger puisque sans rôle. Ensuite, la modération (on imagine une personne humaine) autorise ou non d’accéder à ça ou ça en fonction de différents process pour assigner des rôles.
Le problème là, c’est le développement de l’outil qui semblait ne rien vérifier au delà de « est connecté à Microsoft Entra », alors que toute application devrait être derrière un ou plusieurs rôles. Mais je suis pas forcément surpris, ce type d’outil est souvent développé par des prestataires et si ça a pas été un minimum piloté par la DSI, personne n’a vérifié en dehors de « Je ne suis pas connecté, je n’accède pas à la plateforme ».