Une faille de sécurité détectée dans les systèmes internes de la FIFA a conduit à un accès non autorisé à diverses plateformes utilisées dans l'organisation de la Coupe du Monde. Un chercheur en sécurité utilisant le pseudonyme de BobDaHacker a annoncé qu'en exploitant une simple erreur d'autorisation, il avait pu accéder à différents systèmes internes de la FIFA et même visualiser l'infrastructure où sont gérées les retransmissions des tournois. Selon les informations fournies par le chercheur, le problème était dû à une API backend qui ne vérifiait pas si les utilisateurs disposaient des autorisations nécessaires pour accéder à certains systèmes.
Selon les détails techniques partagés par le chercheur, le processus était assez simple. Tout d'abord, un compte standard a été créé via la plateforme officielle d'enregistrement des gestionnaires de joueurs de la FIFA. Normalement, ce compte ne devrait offrir qu’un accès limité aux services concernés. Cependant, en raison du manque d’autorisation dans l’API sous-jacente, le système ne contrôlait pas de manière adéquate les données ou les plateformes auxquelles l’utilisateur avait le droit d’accéder. Cela a rendu visibles divers outils internes auxquels les utilisateurs normaux ne devraient pas pouvoir accéder.
Selon le chercheur, les systèmes consultés comprenaient certains outils critiques utilisés par les organismes de radiodiffusion. Il s'agissait notamment de plates-formes qui géraient les informations projetées sur l'écran lors des émissions télévisées et contrôlaient le contenu affiché sur les écrans des commentateurs qui expliquaient le match. Étant donné que ces systèmes constituent un élément fondamental de l’expérience de diffusion en direct, un éventuel scénario d’abus pourrait avoir des conséquences considérables.
VOUS POURRIEZ ÊTRE INTÉRESSÉ
La FIFA enregistre le logo Beats sur les écouteurs de Jamal Musiala
SpaceX a battu un nouveau record en atteignant 85,7 milliards de dollars d'offre publique
LinkedIn affichera désormais ce que vous faites dans Adobe et d'autres applications
Le nouveau téléphone pliable de Xiaomi pourrait avoir une surprise HyperOS 4
Le premier smartphone avec un écran de 10 000 nits vient de Honor
Vulnérabilité d'autorisation étendue aux systèmes de diffusion critiques
Dans le billet de blog publié par BobDaHacker, il était indiqué que la vulnérabilité en question pourrait théoriquement avoir des conséquences très graves. Le chercheur a suggéré qu’un seul attaquant pourrait obtenir un accès suffisant pour affecter tous les flux de caméras en même temps. Le message indiquait qu'une personne malveillante pourrait être en mesure de manipuler les retransmissions de la Coupe du monde à l'échelle mondiale. Bien que rien ne prouve que de tels scénarios se produisent, le niveau d’accès atteint semble suffisamment élevé pour attirer l’attention des experts en sécurité.
Dans le monde de la cybersécurité, de telles vulnérabilités sont généralement considérées dans la catégorie des « contrôles d'autorisation manquants » ou des « contrôles d'accès brisés ». Dans les rapports OWASP publiés ces dernières années, les erreurs de contrôle d’accès comptent parmi les problèmes de sécurité des applications Web les plus courants et les plus dangereux. Ce n’est pas parce qu’un utilisateur est authentifié qu’il peut accéder à tous les systèmes. Par conséquent, les applications doivent vérifier séparément l'autorité de l'utilisateur pour chaque transaction.
Selon la déclaration du chercheur, la vulnérabilité a été signalée à la FIFA mardi soir, heure du Japon. Il a été déclaré que la FIFA avait résolu le problème en quelques heures. Malgré cela, le chercheur a déclaré qu'il n'avait reçu aucun retour ni confirmation officielle concernant le rapport de sécurité qu'il avait envoyé. La FIFA n'a fait aucune déclaration détaillée au public sur l'incident.
⚡️⚡️ CES OPPORTUNITÉS PEUVENT VOUS INTÉRESSER ⚡️⚡️
Teknoblog a des partenariats d'affiliation. Ceux-ci n'influencent pas le contenu éditorial, mais Teknoblog peut percevoir une commission sur les produits achetés via des liens d'affiliation.
