Des données FIA, dont le passeport de Verstappen, ont été hackées

L'incident s'est en fait passé l'été dernier : le portail de licence de la FIA a été pénétré par un groupe de hackers dit "éthiques". Ces trois personnes - Gal Nagli, Sam Curry et Ian Carroll - ont révélé eux-mêmes cette affaire sur les réseaux sociaux cette semaine seulement, plusieurs mois après les faits, se présentant comme des grands fans de F1 et comme étant dépourvus de mauvaises intentions. Ils disent avoir seulement cherché à exposer les faiblesses des systèmes FIA afin de rendre "l'écosystème tout entier" plus fort.

Tous les participants à des compétitions organisées sous l'égide de la FIA, de la F1 au karting, doivent avoir une licence afin d'y être autorisé. En Formule 1, il s'agit de la célèbre Super Licence, mais la plupart des pilotes se voient attribuer un grade correspondant à leur niveau ou leur expérience. C'est via le portail que la FIA gère ce système, où les pilotes eux-mêmes peuvent aussi envoyer des requêtes pour des modifications.

Des hackers devenus administrateurs

Le logo de la FIA

Photo de: Gabriele Lanzo / Alessio Morgese / NurPhoto via Getty Images

Les hackers ont d'abord créé un profil avant de découvrir via Javascript qu'il leur était possible d'ajuster leur rôle dans le système. Plusieurs options étaient disponibles : pilote, employé FIA et administrateur dudit service. Le rôle d'"admin" est le plus intéressant car il est celui qui donne accès au maximum de fonctionnalités. Après une manipulation, les hackers ont réussi à transformer leur profil en un profil administrateur, accédant à un panneau permettant à la fédération de catégoriser tous les pilotes.

En poussant plus loin, les hackers ont découvert en explorant un profil de pilote qu'ils pouvaient avoir accès - entre autres - au mot de passe crypté, à l'adresse email, au numéro de téléphone et au passeport du pilote. Il leur était également possible de lire toutes les communications internes entre la FIA et le pilote en question concernant la catégorisation. Ils ont aussi cherché les pilotes de F1, parvenant notamment à avoir accès au passeport de Max Verstappen. Ils assurent avoir arrêté leurs recherches à partir de là, sans avoir eu accès à des informations sensibles.

Une intervention immédiate de la FIA

Suite à ce hacking réussi le 3 juin dernier, la FIA a été notifiée et des mesures ont alors été prises pour combler cette faille avec l'aide des hackers eux-mêmes. Le site a un temps été mis hors ligne, avant qu'un correctif ne soit finalisé le 10 juin.

Interrogé par Motorsport.com à Mexico, la FIA, via un porte-parole, a confirmé toutes ces infirmations et a indiqué dans un communiqué : "La FIA a été informée cet été d'un incident informatique sur le site web de catégorisation des pilotes de la FIA. Des mesures immédiates ont été prises pour sécuriser leurs données. La FIA a signalé cet incident aux autorités compétentes en matière de protection des données, conformément à ses obligations. La FIA a également informé le petit nombre de pilotes concernés par cet incident. Aucune autre plateforme numérique de la FIA n'a été touchée par cet incident."

"La FIA a énormément investi dans la cybersécurité et les mesures de protection de toutes ses plateformes numériques. Elle a mis en place des mesures de sécurité de très haut niveau afin de protéger les données de toutes les parties prenantes. Nous appliquons une politique de 'sécurité dès la conception' pour toutes nos nouvelles initiatives numériques."

Avec Ronald Vording