Plusieurs grandes entreprises technologiques offrent des récompenses pour la découverte de bogues logiciels dans leurs produits. Le BKK, l’autorité des transports publics de Budapest, a adopté une autre pratique : il a fait arrêter le jeune homme de 18 ans qui l’avait prévenu d’un bug.
La BKK a lancé ce mois-ci un système d’achat de billets de transport public par téléphone portable. Au lieu d’une application, ils ont développé un site web à la hâte, à temps pour le championnat du monde de sports nautiques, qui se déroule à Budapest.
Le site, bien sûr, était plein de défauts. Le développeur Laszlo Marai en énumère quelques-uns : les utilisateurs de shop.bkk.hu étaient confrontés à un message d’erreur parce qu’ils n’étaient pas redirigés vers l’adresse HTTPS ; le système stockait chaque mot de passe en texte clair, l’envoyant à l’utilisateur au cas où il l’oublierait ; et le mot de passe de l’administrateur était “adminadmin”.
De plus, comme vous avez découvert un jeune homme de 18 ans – qui préfère ne pas être identifié – le site permettait de définir le prix des billets. Tout ce que vous aviez à faire était d’appuyer sur la touche F12 de votre navigateur pour ouvrir les outils de développement, modifier le code source et changer la valeur.
Le jeune homme a montré qu’il était possible, par exemple, d’acheter un ticket mensuel de 9459 pour seulement 50 forints ( 0,60). Comme il n’y avait pas de système de validation sur le serveur, la BKK a accepté l’opération et a émis le billet.
Il a envoyé un e-mail le 14 juillet au BKK pour l’avertir de l’échec. La compagnie a répondu uniquement en disant que le billet était invalidé ; et a contacté la police pour déposer une plainte, accusant le jeune homme de pirater leurs systèmes. Le 21 juillet, il a été arrêté aux premières heures du matin, alors qu’il vivait en dehors de Budapest et n’avait pas utilisé de billets frauduleux. Quelques heures plus tard, il a été libéré.
L’affaire a attiré l’attention de la presse locale, et le BKK est passé à la défensive, disant qu’il avait subi une série d’attaques de pirates informatiques, que chaque système avait ses défauts, et que le jeune homme avait envoyé le courriel à la mauvaise adresse ? ce qui a été réfuté par une capture d’écran.
BKK a également déclaré que T-Systems Hungary, une filiale de Deutsche Telekom, est responsable de la maintenance de ses systèmes. T-Systems promet de créer un programme de “bug bounty” dans un avenir proche.
Le jeune homme, qui a terminé le lycée et est sur le point d’entrer à l’université, ne veut plus qu’être en paix : “tant que la procédure policière n’est pas close (c’est-à-dire qu’il manque encore une audience judiciaire), je n’ai pas l’intention de faire des commentaires, des interviews, ni de paraître dans la presse… Je voudrais retourner à ma propre vie et me reposer”.
