Un hacker éthique est parvenu à pirater la plateforme de la Fédération internationale de l’automobile (FIA) gérant l’accès aux classements des pilotes. Une opération qui lui a permis d’accéder aux pièces d’identité et aux données personnelles de Max Verstappen et de tous les autres pilotes F1.
C’est une opération de bug bounty hors du commun.
Ian Carroll, jeune Américain d’une vingtaine d’années, est parvenu à accéder à une multitude d’informations personnelles et de pièces d’identité appartenant aux pilotes de F1.
Dans un article publié sur son blog le 22 octobre, le hacker éthique explique étape par étape comment il est parvenu à mettre la main sur un tel butin.
Son précieux travail de prévention, immédiatement signalé à la Fédération Internationale Automobile (FIA), a permis à l’organisation de rectifier une vulnérabilité cruciale dans son site assurant le suivi et la mise à jour des catégories de pilotes.
Page d’identification du portail drivercategorisation.fia.com // Source : Capture Numerama
La cible de l’attaque
Dans cette opération de white hacking, la cible centrale d’Ian Carroll est le portail drivercategorisation.fia.com.
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Ce site permet aux pilotes de s’enregistrer à des compétitions en dehors des Grands Prix, de soumettre leurs résultats et de gérer leur statut selon leur niveau : Bronze, Argent, Or ou Platine.
Pour accéder au processus d’inscription aux courses, la plateforme requiert la création d’un compte personnel avec une adresse e-mail et un mot de passe, mais ce n’est pas tout.
Les pilotes doivent également télécharger de nombreuses pièces justificatives pour valider leur catégorisation, notamment des pièces d’identité (passeport et permis) ainsi que leurs antécédents de course.
Les étapes du piratage
En analysant le fonctionnement du site, Ian Carroll remarque rapidement qu’une simple requête HTTP PUT (destinée à mettre à jour ou remplacer une ressource à une URL précise) permet de modifier le profil utilisateur.
Le hacker tente le coup sans grande conviction, mais c’est finalement la réponse à cette requête, contenue dans le fichier JSON, qui lui apporte des informations précieuses.
Ian identifie rapidement le paramètre « rôle », susceptible de permettre d’élever ses privilèges. Il analyse alors le code JavaScript du portail pour trouver la logique associée à ce paramètre : parmi la liste des possibilités, on trouve « membre », « président » ou encore « pilote ». Dans une nouvelle requête, Ian cible le rôle « administrateur ».
Capture du code JavaScript de drivercategorisation.fia.com. // Source : Blog Ian Carroll
« Le test a fonctionné exactement comme prévu. La réponse HTTP a indiqué que la mise à jour avait réussi et que nous étions désormais administrateurs du site web. » écrit-il dans son blog.
Ian se réauthentifie pour actualiser la session et se retrouve face à un tout nouveau tableau de bord.
Accès complet et alerte à la FIA
Les fonctionnalités permises par son nouveau rôle d’administrateur sont immenses. Entre autres, un accès complet aux profils des conducteurs : adresse mail, numéro de téléphone, passeport, permis, CV.
Ian décide alors de tester ses nouveaux droits sur un profil particulièrement sensible, celui de Max Verstappen. Constatant qu’il lui était effectivement possible d’accéder aux informations du champion de F1, il met fin à ses tests et signale le problème à la FIA.
Capture du dossier contenant les informations sensibles de Max Verstappen // Source : Blog de Ian Carroll
Le site est mis hors-ligne le jour même et une solution complète est déployée une semaine plus tard. Ian précise par ailleurs n’avoir consulté aucune information sensible et avoir supprimé l’ensemble des données collectées pendant son opération de hacking.
Toute l’actu tech en un clin d’œil
Ajoutez Numerama à votre écran d’accueil et restez connectés au futur !
Installer Numerama