ces Suisses ont réussi à tromper la fonction Easyride

ces Suisses ont réussi à tromper la fonction Easyride
ces Suisses ont réussi à tromper la fonction Easyride

En trompant les CFF et Easyride, les chercheurs de l’ETH ont pu voyager gratuitement.

Des chercheurs de l’ETH Zurich ont réussi à tromper la fonction Easyride des CFF. Ils ont falsifié les données de localisation sans que les contrôleurs de l’entreprise s’en rendent compte. Cette dernière a depuis réagi et promet de revoir la fiabilité de ses contrôles.

16/05/2024, 11h5016/05/2024, 14h07

Le contrôleur n’a vu que du feu : Des chercheurs de l’ETH Zurich ont réussi à contrecarrer la fonction Easyride des CFF en manipulant les données de localisation de certains smartphones. Lors du contrôle des billets, la fraude n’a pas été détectée, expliquent les experts dans un communiqué. Les CFF ne les ont jamais contactés à ce sujet, leur voyage était donc gratuit.

Comment l’expliquer ? Il y a un an, le professeur en sécurité informatique Kaveh Razavi et son équipe ont émis l’hypothèse qu’il était possible de tromper la fonctionnalité Easyride. Ils voulaient le tester en modifiant les données de localisation des smartphones. Ainsi, les coordonnées GPS ont été remplacées par des informations falsifiées, mais réalistes.

La fonction Easyride dépend en effet du lieu: au lieu d’acheter un titre de transport traditionnel, les passagers peuvent «s’enregistrer» sur l’application CFF avant un trajet en transports publics et se «désinscrire» à la fin de celui-ci. . Ils présentent au contrôleur un code QR qui confirme l’activation d’Easyride. Pendant le trajet, l’application envoie en permanence des données de localisation à un serveur. Celui-ci calcule ensuite la distance parcourue et le coût du trajet est ensuite facturé à l’utilisateur.

Un baccalauréat en informatique suffit

Des chercheurs de l’ETH Zurich ont réussi à manipuler des données pour faire croire qu’un utilisateur se déplaçait uniquement dans le centre-ville, sans utiliser les transports publics, alors qu’en réalité il était assis dans le train qui l’emmenait vers une autre localité. Les chercheurs soulignent que lors de tous les tests, ils avaient également sur eux un ticket valide, mais qu’ils ont montré au contrôleur le code QR Easyride sur les téléphones falsifiés.

Les experts ont adopté deux approches: soit un programme a généré les données de localisation falsifiées directement sur le smartphone, soit le smartphone a été connecté à un serveur exécutant l’application CFF. Ce serveur a produit les données de localisation falsifiées sous la forme d’un code QR, qui a ensuite été envoyé à un téléphone mobile.

La manipulation nécessite certainement des connaissances spécialisées, reconnaissent les responsables du test.

« Or, les étudiants en informatique possèdent ces compétences dès le niveau licence »

Kaveh Razavi

En allant plus loin, on pourrait même envisager un programme pour smartphone et un service en ligne qui fourniraient des données de localisation falsifiées, mais réalistes. Celles-ci permettraient à des personnes sans aucune connaissance en la matière de commettre des fraudes.

Les CFF ont mis à jour leur application

«Les développeurs ne doivent pas considérer les données de localisation d’un smartphone comme des données fiables», explique la doctorante Michele Marazzi, qui a participé à cette recherche.

« C’est ce que nous avons voulu mettre en valeur avec notre travail »

Pour résoudre ce problème, les scientifiques de l’ETH proposent deux solutions : vérifier la localisation à l’aide de marqueurs géographiques fiables. Ou changer fondamentalement la façon dont les téléphones transmettent leur localisation, afin de rendre les manipulations beaucoup plus complexes.

Les chercheurs ont signalé cette vulnérabilité aux CFF et ont pris contact avec leurs spécialistes l’année dernière. Suite à ces discussions, les CFF déclarent avoir renforcé le contrôle des données de localisation. Ils tiennent également à souligner que la fraude à Easyride est passible de sanctions.

Selon l’entreprise, les manipulations sont désormais détectées a posteriori et font l’objet de poursuites judiciaires. Pour des raisons de sécurité, les CFF n’ont toutefois pas divulgué les détails précis de ce processus de vérification.

(Traduit et adapté par Valentine Zenker)

 
For Latest Updates Follow us on Google News
 

PREV avec la pluie, les premières cerises de Drôme et d’Ardèche sont décevantes
NEXT la RD 603 entre Hombourg-Haut et Moulin-Neuf reste fermée un mois