Hier, SPTrans, responsable du système de transport public de Paris, a été mis en alerte, grâce aux chercheurs de Pontosec, qui ont signalé une défaillance monumentale du système de billet unique. Sans divulguer de détails, ils ont dit avoir trouvé un moyen de copier les crédits sur une carte et ainsi pouvoir utiliser le transport sans payer.
Jusqu’à hier, la faille n’était pas divulguée, mais aujourd’hui, un texte sur Pastie.org dit exactement ce que SPTrans ne voulait pas qu’il dise.
Pour ceux qui n’habitent pas à Paris, voici une brève explication du système du billet unique : il s’agit d’une carte qui contient des crédits à utiliser dans les transports publics de la zone métropolitaine. Plusieurs villes de France et du monde entier mettent en œuvre quelque chose comme cela : je l’ai vu et utilisé à Vitória, Belo Horizonte et Marseille. Ici à Paris SPTrans dit que le système est infaillible depuis 7 ans, jusqu’à présent.
Mais ce n’est pas exactement comme ça. En tout cas pour moi, la faille de sécurité n’est pas nouvelle : il y a quelques mois, j’ai parlé à des amis qui non seulement ont accès à la technologie de lecture et d’écriture de ce type de cartes en France, mais qui ont aussi les connaissances nécessaires pour l’utiliser à des fins déraisonnables (bien qu’ils m’aient assuré qu’ils ne l’utilisent pas). Ils m’ont montré comment ils étaient capables de déverser les valeurs sur une carte et de les enregistrer sur une autre avec une extrême facilité. Les informations correspondent au texte collé sur Pastie.org.
L’échec du système utilisé par SPTrans était connu il y a au moins un an, mais ce n’est que maintenant, avec sa divulgation, que l’agence a décidé de prendre des mesures. Et cela correspond malheureusement à la réalité en France, où les entreprises responsables de ce type de service semblent se soucier peu de la sécurité et de l’intégrité des données. SPTrans au moins sait déjà ce qu’il faut faire et devrait échanger les 25 millions de billets entre les mains des utilisateurs dans les 30 jours, bien qu’il ne soit pas sûr de la logistique de cette opération.
J’espère que la divulgation de cette faille servira d’avertissement aux autres entreprises pour qu’elles réalisent qu’il vaut mieux corriger rapidement les défauts d’un système peu sûr que de perdre de l’argent. Au total, le système de billet unique génère 310 millions par mois dans les caisses de la ville et de l’État. Mais avec la révélation de cette faille, la possibilité pour des personnes plus intelligentes de marcher gratuitement dans le métro et les bus du PS augmente. Et beaucoup.
Un conseil de Felipe Cepriano (@felipecn) sur Twitter. Merci Felipe !
