Un hacker éthique est parvenu à pirater la plateforme de la Fédération internationale de l’automobile (FIA) gérant l’accès aux classements des pilotes. Une opération qui lui a permis d’accéder aux pièces d’identité et aux données personnelles de Max Verstappen et de tous les autres pilotes F1.

C’est une opération de bug bounty hors du commun.

Ian Carroll, jeune Américain d’une vingtaine d’années, est parvenu à accéder à une multitude d’informations personnelles et de pièces d’identité appartenant aux pilotes de F1.

Dans un article publié sur son blog le 22 octobre, le hacker éthique explique étape par étape comment il est parvenu à mettre la main sur un tel butin.

Son précieux travail de prévention, immédiatement signalé à la Fédération Internationale Automobile (FIA), a permis à l’organisation de rectifier une vulnérabilité cruciale dans son site assurant le suivi et la mise à jour des catégories de pilotes.

Page d'identification du portail
Page d’identification du portail drivercategorisation.fia.com // Source : Capture Numerama

La cible de l’attaque

Dans cette opération de white hacking, la cible centrale d’Ian Carroll est le portail drivercategorisation.fia.com.

bitdefender-logo
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement

Ce site permet aux pilotes de s’enregistrer à des compétitions en dehors des Grands Prix, de soumettre leurs résultats et de gérer leur statut selon leur niveau : Bronze, Argent, Or ou Platine.

Pour accéder au processus d’inscription aux courses, la plateforme requiert la création d’un compte personnel avec une adresse e-mail et un mot de passe, mais ce n’est pas tout.

Les pilotes doivent également télécharger de nombreuses pièces justificatives pour valider leur catégorisation, notamment des pièces d’identité (passeport et permis) ainsi que leurs antécédents de course.

Les étapes du piratage

En analysant le fonctionnement du site, Ian Carroll remarque rapidement qu’une simple requête HTTP PUT (destinée à mettre à jour ou remplacer une ressource à une URL précise) permet de modifier le profil utilisateur.

Le hacker tente le coup sans grande conviction, mais c’est finalement la réponse à cette requête, contenue dans le fichier JSON, qui lui apporte des informations précieuses.

Ian identifie rapidement le paramètre « rôle », susceptible de permettre d’élever ses privilèges. Il analyse alors le code JavaScript du portail pour trouver la logique associée à ce paramètre : parmi la liste des possibilités, on trouve « membre », « président » ou encore « pilote ». Dans une nouvelle requête, Ian cible le rôle « administrateur ».

Capture du code JavaScript // Source : Blog Ian Carrol
Capture du code JavaScript de drivercategorisation.fia.com. // Source : Blog Ian Carroll

« Le test a fonctionné exactement comme prévu. La réponse HTTP a indiqué que la mise à jour avait réussi et que nous étions désormais administrateurs du site web. » écrit-il dans son blog.

Ian se réauthentifie pour actualiser la session et se retrouve face à un tout nouveau tableau de bord.

Accès complet et alerte à la FIA

Les fonctionnalités permises par son nouveau rôle d’administrateur sont immenses. Entre autres, un accès complet aux profils des conducteurs : adresse mail, numéro de téléphone, passeport, permis, CV.

Ian décide alors de tester ses nouveaux droits sur un profil particulièrement sensible, celui de Max Verstappen. Constatant qu’il lui était effectivement possible d’accéder aux informations du champion de F1, il met fin à ses tests et signale le problème à la FIA.

Capture du dossier contenant les informations sensibles de Max Verstappen // Source : Blog de Ian Carroll
Capture du dossier contenant les informations sensibles de Max Verstappen // Source : Blog de Ian Carroll

Le site est mis hors-ligne le jour même et une solution complète est déployée une semaine plus tard.  Ian précise par ailleurs n’avoir consulté aucune information sensible et avoir supprimé l’ensemble des données collectées pendant son opération de hacking.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !