Trois fans de Formule 1 ont piraté la Fédération internationale de l’automobile (FIA) et ont découvert une grave faille dans le système de licence de la fédération.
La FIA a confirmé que des pirates informatiques avaient brièvement eu accès aux données du portail des licences de pilote de l’organisation, y compris au passeport de Max Verstappen. La faille de sécurité a depuis été comblée en collaboration avec les pirates informatiques.
L’incident s’est produit cet été, lorsque trois pirates informatiques, Gal Nagli, Sam Curry et Ian Carroll, ont pénétré dans le « Driver Categorisation Portal » (portail de catégorisation des pilotes) de la FIA. Bien que l’accès ait eu lieu il y a déjà plusieurs mois, les pirates informatiques n’ont rendu leur découverte publique que cette semaine sur les réseaux sociaux.
Le groupe, composé exclusivement de fans de Formule 1, a souligné qu’il n’avait aucune intention malveillante. Son objectif était de mettre en évidence les failles de l’infrastructure informatique de la FIA afin de rendre « l’ensemble de l’écosystème plus sûr ».
Accès au système de classification des pilotes
Le domaine concerné était le système utilisé par la FIA pour gérer les classifications des pilotes. Alors que les pilotes de Formule 1 doivent posséder une super licence, pour les autres séries de courses, en particulier dans les sports d’endurance, la classification en or, argent ou bronze est déterminante.
La FIA gère ces classifications via le portail ; les pilotes peuvent également y déposer des demandes de changement de statut, par exemple pour passer de l’or à l’argent, ce qui peut être avantageux dans les séries où les pilotes argent sont obligatoires.
Les droits d’administration étendus ont permis l’accès aux données
Les pirates ont d’abord créé un profil sur le portail de la FIA et ont utilisé Javascript pour déterminer qu’ils pouvaient modifier leur rôle d’utilisateur. Le système faisait la distinction entre les pilotes, les employés de la FIA et les administrateurs, ces derniers disposant des droits les plus élevés.
Grâce à une demande spéciale, ils ont réussi à augmenter leurs droits d’accès au niveau administrateur. Après s’être reconnectés, ils ont découvert une interface utilisateur complètement différente, comprenant le tableau de bord interne de la FIA pour le classement des pilotes.
Afin de vérifier l’accès, ils ont téléchargé à titre d’essai un seul profil de pilote. Ils ont alors pu voir le mot de passe, l’adresse e-mail, le numéro de téléphone, les données du passeport ainsi que les communications internes entre la FIA et le pilote.
Tous les pilotes de Formule 1 étaient également répertoriés dans le système. Les pirates ont remarqué que les données du passeport de Max Verstappen auraient en principe pu être consultées. Ils ont toutefois souligné qu’ils avaient arrêté leurs tests à ce stade et qu’ils n’avaient ni consulté ni enregistré d’informations sensibles.
La FIA a réagi immédiatement
Après avoir découvert la faille le 3 juin, les pirates ont immédiatement informé la FIA. La fédération a mis le site hors ligne le jour même et a travaillé avec le groupe pour trouver une solution durable. Le 10 juin, la FIA a confirmé que le problème avait été résolu.
Un porte-parole de la FIA a déclaré à Motorsport.com au Mexique : « La FIA a été informée cet été d’un incident cybernétique lié au site web de classement des pilotes. Des mesures ont été prises immédiatement pour sécuriser les données des pilotes. »
« Conformément à ses obligations, la FIA a signalé l’incident aux autorités compétentes en matière de protection des données et a informé les quelques pilotes concernés. Les autres plateformes numériques de la FIA n’ont pas été touchées. »
Il a également été déclaré : « La FIA a investi massivement dans la cybersécurité et les mesures de résilience. Elle dispose de dispositifs de sécurité des données à la pointe de la technologie pour protéger toutes les parties prenantes et applique une stratégie cohérente de sécurité dès la conception dans le cadre de ses nouveaux projets numériques. »
Cette affaire souligne l’importance que revêtent désormais les mesures de sécurité informatique, même pour les grandes fédérations sportives telles que la FIA.
