Une hackeuse éthique connue sous le nom de BodDaHacker , qui se présente comme quelqu’un qui recherche des failles de sécurité pour ensuite les signaler de manière responsable afin de contribuer à rendre Internet plus sûr, affirme avoir découvert une faille de sécurité incroyable dans les services de la Coupe du monde de la FIFA. N’importe qui ayant découvert cette faille avec des intentions malveillantes aurait pu altérer ou perturber toute la diffusion de la compétition.
La hackeuse s’est d’abord inscrite sur la FIFA Agent Platform, un portail public où n’importe qui peut (ou pouvait) s’inscrire pour devenir agent de football agréé. Elle a facilement contourné les protections côté client et a accédé au panneau de gestion du streaming, où elle a trouvé le panneau de gestion de la production en direct, avec des boutons pour démarrer, arrêter ou programmer tous les angles de caméra.
Si un pirate avait réussi à s’introduire là-dedans, il aurait facilement pu interrompre la diffusion du match dans le monde entier, voire remplacer le flux vidéo par n’importe quoi d’autre. « Un pirate aurait pu faire un “Rickroll” sur toute la Coupe du monde de la FIFA. Ou diffuser une partie de Subway Surfers. En direct. Sur toutes les chaînes de télévision du monde entier. Pendant un match en cours. »
Mais ce n’est pas tout : elle a facilement pu accéder à d’autres parties clés de l’infrastructure média de la FIFA, comme le tableau de bord complet des matchs en direct, les données des officiels de match, et même le système d’information des commentateurs, un tableau de bord que les commentateurs consultent pendant les matchs en direct et où ils peuvent voir les informations qu’ils partagent ensuite avec leur public. “Un pirate aurait pu :
Modifier les notes de commentaires rédactionnels et les publier sur les systèmes de diffusion
Modifier l’heure officielle du coup d’envoi
Envoyer des données tactiques sur la composition des équipes
Modifier les scores et les statistiques du match
Ces données sont transmises au système d’information des commentateurs et s’affichent à la télévision en direct.
” La hackeuse n’a pas pu contacter la FIFA, et n’a ensuite reçu ni remerciements ni reconnaissance d’aucune sorte La hackeuse éthique a publié des images sur son blog pour prouver ses découvertes, mais elle n’a rien modifié. Elle a essayé de contacter la FIFA pour les avertir, et a déclaré que ça avait été « la nuit la plus stressante de sa vie », à 3 heures du matin à Tokyo. Elle n’a pas réussi à joindre la FIFA par e-mail, par téléphone, via la ligne réservée aux médias, ni même via le numéro WhatsApp du responsable de la technologie et des données du football à la FIFA, Sebastian Runge, trouvé sur LinkedIn.
Elle a seulement eu la chance de pouvoir joindre MediaKing, l’infrastructure de streaming qui héberge la compétition ; la Cybersecurity and Infrastructure Security Agency (CISA), l’organisme fédéral chargé de la cybersécurité pour la Coupe du monde de la FIFA 2026 ; et même un contact au FBI, qui ont tous contacté la FIFA. Elle n’a pas pu avertir la FIFA elle-même.
Quelques heures plus tard, le problème a été résolu, mais elle affirme n’avoir reçu aucun message de la FIFA reconnaissant la faille, la remerciant ou proposant de discuter d’une compensation. ” Quand une chercheuse doit appeler la CISA et le FBI pour te joindre, c’est qu’il y a un problème “, a déclaré la hackeuse.