Ils ont trouvé comment duper les contrôleurs CFF
Le contrôleur n'y a vu que du feu: des chercheurs de l'EPFZ ont réussi à déjouer la fonction Easyride des CFF en manipulant les données de localisation sur certains smartphones. Au moment du contrôle des billets, la fraude n'a pas été décelée, expliquent les experts dans un communiqué. Les CFF ne les ayant jamais contactés à ce propos, leur voyage a donc été gratuit.
Comment l'expliquer? Il y a un an, le professeur de sécurité informatique Kaveh Razavi et son équipe ont émis l'hypothèse qu'il était possible de tromper la fonction Easyride. Ils ont souhaité la tester en altérant les données de localisation des smartphones. Ainsi, les coordonnées GPS ont été substituées par des informations falsifiées, mais réalistes.
La fonction Easyride dépend en effet de la localisation: au lieu d'acheter un billet traditionnel, les passagers peuvent «s'enregistrer» sur l'application CFF avant un trajet en transports publics et se «désenregistrer» à la fin de celui-ci. Ils présentent au contrôleur un code QR qui confirme l'activation d'Easyride. Pendant le trajet, l'application envoie en permanence des données de localisation à un serveur. Celui-ci calcule alors la distance parcourue et le coût du trajet est ensuite facturé à l'usager.
Un bachelor en informatique suffit
Les chercheurs de l'EPFZ sont parvenus à manipuler des données pour leur faire prétendre qu'un utilisateur se déplaçait uniquement en centre-ville, sans utiliser les transports publics, alors qu'il était en fait assis dans le train qui le menait vers une autre localité. Les chercheurs soulignent que lors de tous les tests, ils avaient en outre un billet en bonne et due forme sur eux, mais qu'ils ont montré au contrôleur le code QR Easyride sur les téléphones trafiqués.
Les experts ont adopté deux approches: soit un programme a généré directement les données de localisation falsifiées sur le smartphone, soit le smartphone était connecté à un serveur exécutant l'application CFF. Ce serveur a produit les données de localisation falsifiées sous forme d'un code QR, qui était ensuite envoyé vers un téléphone mobile.
La manipulation requiert certes des connaissances spécialisées, reconnaissent les responsables du test.
En allant plus loin, on pourrait même envisager un programme pour smartphone et un service en ligne qui fourniraient des données de localisation falsifiées, mais réalistes. Celles-ci permettraient à des personnes sans aucune connaissance en la matière de commettre des fraudes.
Les CFF ont mis leur application à jour
«Les développeurs ne devraient pas considérer les données de localisation d'un smartphone comme des données fiables», explique le doctorant Michele Marazzi, qui a participé à cette recherche.
Pour résoudre ce problème, les scientifiques de l'EPFZ proposent deux solutions : vérifier la localisation en utilisant des repères géographiques fiables. Ou bien modifier fondamentalement la façon dont les téléphones transmettent leur localisation, afin de rendre les manipulations beaucoup plus complexes.
Les chercheurs ont signalé cette vulnérabilité aux CFF et ont été en contact avec leurs spécialistes l'année dernière. Suite à ces échanges, les CFF déclarent avoir renforcé le contrôle des données de localisation. Ils tiennent également à souligner que frauder Easyride est passible de sanctions.
Selon la compagnie, les manipulations sont désormais détectées a posteriori et font l'objet de poursuites judiciaires. Toutefois, pour des raisons de sécurité, les CFF n'ont pas divulgué les détails précis de ce processus de vérification.
(Traduit et adapté par Valentine Zenker)