Un bug de la FIA a permis d’accéder au passeport et aux informations d’identification personnelle de Max Verstappen

 (ian.sh)
1 points par GN⁺ 2025-10-23 | 1 commentaires | Partager sur WhatsApp
  • Des chercheurs en sécurité ont découvert qu’il était possible d’accéder à des informations sensibles sur des pilotes de F1 via une vulnérabilité du site de classification des pilotes de la FIA
  • Ce système fonctionne séparément de la FIA Super Licence et sert de portail où les pilotes peuvent demander ou renouveler leur catégorie (bronze/argent/or/platine)
  • Les chercheurs ont obtenu des privilèges administrateur et accédé au tableau de bord interne en exploitant une vulnérabilité de mass assignment dans une requête HTTP PUT
  • Ils ont ainsi pu consulter les données de tous les pilotes, y compris des PII comme les passeports, e-mails, numéros de téléphone, hashes de mots de passe et CV
  • Ce cas illustre de manière emblématique l’importance croissante de la gestion de la sécurité à mesure que l’industrie du sport se numérise

Contexte : à l’intersection de la F1 et de la cybersécurité

  • Ces dernières années, avec la hausse des investissements des startups de sécurité et du capital-risque, les principaux événements de networking se tiennent de plus en plus autour des Grands Prix de F1
    • CrowdStrike, Darktrace et d’autres investissent des millions de dollars comme sponsors d’équipes
    • Bitdefender a conclu un partenariat officiel de cybersécurité pour prendre en charge la sécurité d’une écurie
  • Les chercheurs Gal Nagli, Sam Curry et Ian Carroll, en participant à ce type d’événements, ont tenté d’explorer les vulnérabilités de sécurité de sites de support liés à la F1
  • Ce billet de blog est le premier d’une série en trois parties et traite de la première vulnérabilité découverte dans un système lié à la F1

Vue d’ensemble du système de classification des pilotes de la FIA

  • Les pilotes de F1 doivent posséder une FIA Super Licence, délivrée chaque année via les associations nationales du sport automobile (ASN)
    • Il faut remplir certaines exigences de points, d’âge, d’examen médical et d’épreuve écrite
  • La FIA exploite séparément le système Driver Categorisation (drivercategorisation.fia.com) pour gérer les catégories des pilotes (bronze à platine)
    • Ce portail prend en charge l’auto-inscription publique, et les participants doivent y téléverser leur dossier de catégorie ainsi que des pièces d’identité et un CV de carrière
    • Les titulaires d’une Super Licence reçoivent automatiquement la catégorie platine

Processus de découverte de la vulnérabilité

  • Après avoir créé un compte, les chercheurs ont observé une requête HTTP PUT lors de la modification du profil
    • La requête elle-même était simple, mais la réponse JSON contenait des champs supplémentaires comme roles, birthDate, status
  • En analysant le code JavaScript, ils ont confirmé que le site comportait plusieurs rôles, dont pilote, employé FIA et administrateur (admin)
  • Les chercheurs ont alors testé si le champ roles pouvait être mis à jour sans validation côté serveur, en envoyant une requête PUT incluant le rôle administrateur

Obtention des privilèges administrateur

  • Voici un exemple de requête
    • "roles": [{"id": 1, "description": "ADMIN role", "name": "ADMIN"}]
  • Le serveur l’a acceptée sans erreur et l’a renvoyée dans la réponse JSON avec le rôle ADMIN attribué
  • Après reconnexion, le tableau de bord administrateur de la FIA s’est affiché, donnant accès à l’ensemble des fonctionnalités côté serveur, comme la classification des pilotes, la gestion du personnel ou la modification des modèles d’e-mails

Possibilité d’accès à des informations sensibles

  • En consultant les profils de pilotes avec les privilèges administrateur, les informations suivantes étaient exposées
    • hashes de mots de passe, e-mails, numéros de téléphone, copies de passeport, CV, informations d’identification personnelle (PII)
    • commentaires internes liés à l’évaluation des pilotes et historique des décisions du comité
  • Les chercheurs ont indiqué avoir confirmé, pendant leurs tests, qu’ils pouvaient accéder au passeport, à la licence et aux PII de Max Verstappen, sans toutefois les consulter réellement ni les enregistrer
  • Toutes les données de test ont été supprimées immédiatement, et aucune intrusion supplémentaire n’a été poursuivie

Divulgation de la vulnérabilité et réponse

  • 3 juin 2025 : premier signalement à la FIA par e-mail et via LinkedIn
  • Le même jour, la FIA a mis le site hors ligne
  • 10 juin 2025 : la FIA a officiellement indiqué avoir terminé une correction complète
  • 22 octobre 2025 : publication du billet de blog et rapport public

Enseignements

  • Un exemple montrant qu’une simple vulnérabilité de mass assignment peut survenir même dans des systèmes considérés comme hautement sécurisés
  • À mesure que la numérisation de l’industrie du sport s’accélère, le besoin de renforcer la protection des données personnelles et les contrôles d’accès devient plus pressant
  • Les institutions internationales comme la FIA doivent notamment effectuer des contrôles de sécurité réguliers de la conception des API et de la logique de vérification des autorisations

À lire aussi

1 commentaires

 
GN⁺ 2025-10-23
Avis Hacker News

  • Il ne s’agit pas d’une simple vulnérabilité, mais d’un ensemble de multiples échecs de sécurité
    Par exemple, il n’y a absolument aucune raison de conserver sur le serveur de production les dossiers des candidats une fois l’objectif atteint
    Cela va aussi à l’encontre du principe de minimisation du blast radius (périmètre d’impact)
    Dans une situation pareille, ils devraient au moins obtenir des billets gratuits à vie

    • Règle n°1 : ne jamais faire confiance aux données saisies par l’utilisateur
      Dès que cette règle est rompue, ce n’est plus qu’une question de temps avant que toutes les autres tombent aussi

  • Ian, si vous ajoutiez un flux RSS au site, vous auriez probablement davantage d’abonnés réguliers

    • Ian est vraiment un excellent rédacteur
    • Je suis d’accord avec cet avis

  • Le fait qu’ils aient mis le site hors ligne dès le jour du signalement est surprenant
    Une telle rapidité de réaction est rare

    • Oui, et la correction a aussi été assez rapide
      Il est rare de voir une entreprise de cette taille bouger aussi vite

  • C’est un niveau de sécurité honteusement mauvais

    • C’est presque gênant d’appeler ça de la sécurité, tout était simplement grand ouvert
      Cela dit, voir ce genre de chose atténue un peu mon syndrome de l’imposteur
    • Si vous regardez même la vidéo de la fête, vous serez encore plus surpris

  • Dans une situation pareille, on regrette presque qu’ils n’aient pas donné aux auteurs une super licence F1 pour qu’ils puissent piloter eux-mêmes

    • Si seulement cela s’était limité à ça

  • Je me demande si vous avez déjà reçu des menaces juridiques en pratiquant ce type d’exploration de sécurité
    Je me demande aussi si l’on vous a déjà proposé une récompense même dans des endroits sans programme de bug bounty

    • Ce genre d’activité peut être juridiquement risqué
      Il y a dans le secteur beaucoup de gens incompétents et peu responsables
      Pour eux, un signalement de sécurité devient surtout une « corvée » supplémentaire, ce qui crée une incitation à rejeter la faute sur l’auteur du signalement ou à engager des poursuites pour éviter toute responsabilité
      C’est pourquoi agir de façon anonyme est le plus sûr. On peut toujours révéler son identité plus tard si on le souhaite
    • L’affaire allemande « Modern Solution » en est un exemple représentatif
      Un ingénieur IT avait découvert un mot de passe et signalé la possibilité d’accéder à phpMyAdmin, mais l’entreprise l’a poursuivi, et elle a finalement gagné jusqu’à la plus haute juridiction
      Article lié (Heise)
    • Comme expliqué dans le blog, la tentative d’élévation de privilèges administrateur est juridiquement ambiguë
      Ce type d’action n’est généralement autorisé que dans le cadre formel d’un test de red team ou d’un contrat de test d’intrusion
      Affirmer après coup que c’était « éthique » ne suffit pas
    • Les menaces juridiques réelles sont rares, mais certaines entreprises proposent parfois des pots-de-vin sous couvert de « bug bounty rétroactive »
      Il faut toujours refuser ce genre d’offre
    • Lorsque j’ai signalé une vulnérabilité à l’université, l’entreprise a proféré des menaces juridiques, mais elles ont été retirées après la vive protestation de mon professeur
      Depuis, cela ne m’est plus arrivé en 8 ans
      Aujourd’hui, les entreprises semblent mieux comprendre ce type d’activité qu’avant

  • Ma technique de piratage préférée consiste à lire le JS et modifier la requête PUT
    Cela fonctionne plus souvent qu’on ne le pense

  • Vieille entreprise, vieille sécurité
    RD a bien travaillé, mais ce n’est absolument pas surprenant
    Je suis presque certain que le hachage est du MD5

    • Je me demande quel algorithme de hachage ils utilisent
    • Pour un site F1, « move fast and break things » lui irait parfaitement
      Cela fait penser à xkcd 1428

  • Ce qui est étrange, c’est que l’exploitant du site est Ian Carroll, mais l’exemple met en scène le célèbre chasseur de bug bounty Sam Curry

    • D’après le billet, Gal Nagli, Sam Curry et Ian avaient décidé ensemble d’essayer de pirater des sites liés à la F1
    • En lisant d’autres billets d’Ian, on voit qu’ils collaborent souvent