Sécurité

Un jeune site de piratage informatique utilisant l’outil F12 du navigateur et arrêté par la police

Plusieurs grandes entreprises technologiques offrent des récompenses pour la découverte de bogues logiciels dans leurs produits. Le BKK, l’autorité des transports publics de Budapest, a adopté une autre pratique : il a fait arrêter le jeune homme de 18 ans qui l’avait prévenu d’un bug.

La BKK a lancé ce mois-ci un système d’achat de billets de transport public par téléphone portable. Au lieu d’une application, ils ont développé un site web à la hâte, à temps pour le championnat du monde de sports nautiques, qui se déroule à Budapest.

Le site, bien sûr, était plein de défauts. Le développeur Laszlo Marai en énumère quelques-uns : les utilisateurs de shop.bkk.hu étaient confrontés à un message d’erreur parce qu’ils n’étaient pas redirigés vers l’adresse HTTPS ; le système stockait chaque mot de passe en texte clair, l’envoyant à l’utilisateur au cas où il l’oublierait ; et le mot de passe de l’administrateur était “adminadmin”.

De plus, comme vous avez découvert un jeune homme de 18 ans – qui préfère ne pas être identifié – le site permettait de définir le prix des billets. Tout ce que vous aviez à faire était d’appuyer sur la touche F12 de votre navigateur pour ouvrir les outils de développement, modifier le code source et changer la valeur.

  Apple exigera une politique de confidentialité pour les applications sur l'App Store

Le jeune homme a montré qu’il était possible, par exemple, d’acheter un ticket mensuel de 9459 pour seulement 50 forints ( 0,60). Comme il n’y avait pas de système de validation sur le serveur, la BKK a accepté l’opération et a émis le billet.

Il a envoyé un e-mail le 14 juillet au BKK pour l’avertir de l’échec. La compagnie a répondu uniquement en disant que le billet était invalidé ; et a contacté la police pour déposer une plainte, accusant le jeune homme de pirater leurs systèmes. Le 21 juillet, il a été arrêté aux premières heures du matin, alors qu’il vivait en dehors de Budapest et n’avait pas utilisé de billets frauduleux. Quelques heures plus tard, il a été libéré.

L’affaire a attiré l’attention de la presse locale, et le BKK est passé à la défensive, disant qu’il avait subi une série d’attaques de pirates informatiques, que chaque système avait ses défauts, et que le jeune homme avait envoyé le courriel à la mauvaise adresse ? ce qui a été réfuté par une capture d’écran.

  Reposez en paix : MixRadio sera arrêté

BKK a également déclaré que T-Systems Hungary, une filiale de Deutsche Telekom, est responsable de la maintenance de ses systèmes. T-Systems promet de créer un programme de “bug bounty” dans un avenir proche.

Le jeune homme, qui a terminé le lycée et est sur le point d’entrer à l’université, ne veut plus qu’être en paix : “tant que la procédure policière n’est pas close (c’est-à-dire qu’il manque encore une audience judiciaire), je n’ai pas l’intention de faire des commentaires, des interviews, ni de paraître dans la presse… Je voudrais retourner à ma propre vie et me reposer”.

A propos de l'auteur

Ronan

Ronan

Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

Laisser un commentaire