Ian Carroll, jeune Am\u00e9ricain d\u2019une vingtaine d\u2019ann\u00e9es, est parvenu \u00e0 acc\u00e9der \u00e0 une multitude d\u2019informations personnelles et de pi\u00e8ces d\u2019identit\u00e9 appartenant aux pilotes de F1.<\/p>\n
Dans un article publi\u00e9 sur son blog le 22 octobre<\/a>, le hacker \u00e9thique explique \u00e9tape par \u00e9tape comment il est parvenu \u00e0 mettre la main sur un tel butin.<\/p>\n Son pr\u00e9cieux travail de pr\u00e9vention, imm\u00e9diatement signal\u00e9 \u00e0 la F\u00e9d\u00e9ration Internationale Automobile (FIA), a permis \u00e0 l\u2019organisation de rectifier une vuln\u00e9rabilit\u00e9 cruciale dans son site assurant le suivi et la mise \u00e0 jour des cat\u00e9gories de pilotes.<\/p>\n La cible de l\u2019attaque<\/p>\n Dans cette op\u00e9ration de white hacking<\/a>, la cible centrale d\u2019Ian Carroll est le portail drivercategorisation.fia.com<\/a>.<\/p>\n \n Votre vie priv\u00e9e doit rester priv\u00e9e. <\/p>\n \n Face aux cyberattaques, d\u00e9jouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiqu\u00e9es, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles. <\/p>\n Ce site permet aux pilotes de s\u2019enregistrer \u00e0 des comp\u00e9titions en dehors des Grands Prix, de soumettre leurs r\u00e9sultats et de g\u00e9rer leur statut selon leur niveau : Bronze, Argent, Or ou Platine.<\/p>\n Pour acc\u00e9der au processus d\u2019inscription aux courses, la plateforme requiert la cr\u00e9ation d\u2019un compte personnel avec une adresse e-mail et un mot de passe<\/a>, mais ce n\u2019est pas tout.<\/p>\n Les pilotes doivent \u00e9galement t\u00e9l\u00e9charger de nombreuses pi\u00e8ces justificatives pour valider leur cat\u00e9gorisation, notamment des pi\u00e8ces d\u2019identit\u00e9 (passeport et permis) ainsi que leurs ant\u00e9c\u00e9dents de course.<\/p>\n Les \u00e9tapes du piratage<\/p>\n En analysant le fonctionnement du site, Ian Carroll remarque rapidement qu\u2019une simple requ\u00eate HTTP PUT (destin\u00e9e \u00e0 mettre \u00e0 jour ou remplacer une ressource \u00e0 une URL pr\u00e9cise) permet de modifier le profil utilisateur.<\/p>\n Le hacker tente le coup sans grande conviction, mais c\u2019est finalement la r\u00e9ponse \u00e0 cette requ\u00eate, contenue dans le fichier JSON, qui lui apporte des informations pr\u00e9cieuses.<\/p>\n Ian identifie rapidement le param\u00e8tre \u00ab\u00a0r\u00f4le\u00a0\u00bb, susceptible de permettre d\u2019\u00e9lever ses privil\u00e8ges. Il analyse alors le code JavaScript du portail pour trouver la logique associ\u00e9e \u00e0 ce param\u00e8tre\u00a0: parmi la liste des possibilit\u00e9s, on trouve \u00ab\u00a0membre\u00a0\u00bb, \u00ab\u00a0pr\u00e9sident\u00a0\u00bb ou encore \u00ab\u00a0pilote\u00a0\u00bb. Dans une nouvelle requ\u00eate, Ian cible le r\u00f4le \u00ab\u202fadministrateur\u202f\u00bb.<\/p>\n \u00ab\u00a0Le test a fonctionn\u00e9 exactement comme pr\u00e9vu. La r\u00e9ponse HTTP a indiqu\u00e9 que la mise \u00e0 jour avait r\u00e9ussi et que nous \u00e9tions d\u00e9sormais administrateurs du site web.\u00a0\u00bb \u00e9crit-il dans son blog.<\/p>\n Ian se r\u00e9authentifie pour actualiser la session et se retrouve face \u00e0 un tout nouveau tableau de bord.<\/p>\n Acc\u00e8s complet et alerte \u00e0 la FIA<\/p>\n Les fonctionnalit\u00e9s permises par son nouveau r\u00f4le d\u2019administrateur sont immenses. Entre autres, un acc\u00e8s complet aux profils des conducteurs\u202f: adresse mail, num\u00e9ro de t\u00e9l\u00e9phone, passeport, permis, CV.<\/p>\n Ian d\u00e9cide alors de tester ses nouveaux droits sur un profil particuli\u00e8rement sensible, celui de Max Verstappen. Constatant qu\u2019il lui \u00e9tait effectivement possible d\u2019acc\u00e9der aux informations du champion de F1, il met fin \u00e0 ses tests et signale le probl\u00e8me \u00e0 la FIA.<\/p>\n![\"Page](\"https:\/\/www.europesays.com\/fr\/wp-content\/uploads\/2025\/10\/capture-decran-2025-10-23-a-171758-1024x696.png\" "\\"Page")
<\/a>Page d\u2019identification du portail drivercategorisation.fia.com \/\/ Source : Capture Numerama<\/p>\n![\"Bitdefender](\"https:\/\/www.europesays.com\/fr\/wp-content\/uploads\/2025\/10\/bitdefender-new-box-1-1024x380.jpg\" "\\"Bitdefender")
<\/p>\n![\"Capture](\"https:\/\/www.europesays.com\/fr\/wp-content\/uploads\/2025\/10\/capture-decran-2025-10-23-a-171809-1024x611.jpg\" "\\"Capture")
<\/a>Capture du code JavaScript de drivercategorisation.fia.com<\/a>. \/\/ Source : Blog Ian Carroll<\/p>\n
![\"Capture](\"https:\/\/www.europesays.com\/fr\/wp-content\/uploads\/2025\/10\/capture-decran-2025-10-23-a-171820-1024x181.png\" "\\"Capture")
<\/a>Capture du dossier contenant les informations sensibles de Max Verstappen \/\/ Source : Blog de Ian Carroll<\/p>\n![\"Toute](\"https:\/\/www.europesays.com\/fr\/wp-content\/uploads\/2025\/04\/iPhone-16-pro.png\")
<\/p>\n![\"Logo](\"https:\/\/www.numerama.com\/wp-content\/themes\/numerama-next\/assets\/images\/premium\/logo-card-pwa-coupe.svg\"){kind=logo}
<\/p>\n