Un site de la FIA piraté : les données sensibles des pilotes exposées

Des pirates informatiques "éthiques" ont compromis le site web de la FIA qui contient des informations personnelles sensibles et des documents relatifs aux pilotes, dont le champion du monde Max Verstappen, cité dans le rapport.

Le chercheur en sécurité Ian Carroll a révélé cette faille dans un article de blog publié mercredi. Il a déclaré que la FIA avait corrigé les vulnérabilités de ses systèmes immédiatement après que lui-même et deux autres chercheurs l’aient contactée en juin.

La FIA a confirmé la violation et a déclaré avoir pris des mesures pour sécuriser les données des pilotes. Elle a contacté les pilotes concernés ainsi que les autorités compétentes en matière de protection des données.

Les pirates ont compromis le site web de catégorisation des pilotes de la FIA en créant un compte utilisateur ordinaire, puis en exploitant les vulnérabilités du système pour obtenir des privilèges d’administrateur. Cela leur a permis d’accéder aux informations personnelles sensibles de n’importe quel pilote de leur choix.

"Nous semblions avoir un accès administrateur complet au site web de catégorisation des pilotes de la FIA," ont-ils noté.

Les pirates ont déclaré qu’ils n’avaient ni accédé ni conservé les informations sensibles relatives aux personnes identifiées lors du piratage et ont immédiatement signalé leurs découvertes à la FIA.

"Nous avons arrêté les tests après avoir constaté qu’il était possible d’accéder au passeport, au CV, au permis de conduire, au hachage du mot de passe et aux informations personnelles identifiables de Max Verstappen," a écrit Carroll.

"Ces données étaient accessibles pour tous les pilotes de F1 classés, ainsi que des informations sensibles sur les opérations internes de la FIA. Nous n’avons accédé à aucun passeport ni aucune information sensible et toutes les données ont été effacées."

Le site Web de la FIA consacré à la classification des pilotes contient les coordonnées de près de 7 000 pilotes. L’instance dirigeante a réagi à cette violation dans une déclaration fournie aux médias.

"La FIA a pris connaissance d’un incident cybernétique impliquant le site Web de la FIA consacré à la classification des pilotes au cours de l’été. Des mesures immédiates ont été prises pour sécuriser les données des pilotes, et la FIA a signalé ce problème aux autorités compétentes en matière de protection des données, conformément à ses obligations."

"Elle a également informé le petit nombre de pilotes concernés par ce problème. Aucune autre plateforme numérique de la FIA n’a été touchée par cet incident."

Selon les chercheurs, la FIA a mis le site web hors ligne le 3 juin, le jour même où elle a été informée de la violation. Une semaine plus tard, elle a fourni des détails sur une solution complète.

La FIA affirme avoir "investi massivement dans des mesures de cybersécurité et de résilience sur l’ensemble de son parc numérique" et "mis en place des mesures de sécurité des données de classe mondiale pour protéger toutes ses parties prenantes et appliquer une politique de sécurité dès la conception dans toutes ses nouvelles initiatives numériques".