Des chercheurs de l'Ecole polytechnique fédérale de Zurich (EPFZ) ont réussi à tromper la fonction Easyride de l'application des CFF et ont pu voyager gratuitement en train. Cette faille a depuis pu être corrigée.
Pour ce test, les chercheurs en sécurité informatique ont manipulé les données de localisation d'un smartphone, explique mercredi l'EPFZ dans un communiqué. Une telle opération nécessite certes un savoir-faire technique, mais il s'agit de compétences dont disposent des étudiants en informatique dès le niveau bachelor, soulignent les chercheurs.
La fonction Easyride permet aux voyageurs de se connecter via l'application CFF lorsqu'ils montent dans un train et de se déconnecter dès qu'ils en sont descendus. L'application détermine alors, sur la base des données de localisation du smartphone, le trajet effectué et délivre a posteriori le billet le plus approprié.
Les chercheurs ont testé le smartphone préparé par leurs soins lors de plusieurs trajets entre Zurich et le chef-lieu d'un canton voisin. La fraude n'a pas été remarquée lors des contrôles des billets dans le train et les "tricheurs" n'ont pas été contactés par la suite par les CFF. Au lieu de cela, la compagnie a calculé les coûts des faux mouvements à petite échelle, pour lesquels aucun moyen de transport public n'a été utilisé.
Point faible corrigé
"C'est tout à fait fondamental: les données de localisation d'un smartphone peuvent être manipulées et on ne peut pas leur faire confiance", souligne le chercheur Michele Marazzi, qui a participé aux tests.
Pendant les tests, les chercheurs avaient d'ailleurs toujours un billet valable sur eux. L'utilisation de la fonction Easyride avec des données de localisation manipulées est punissable.
Les chercheurs ont informé les CFF de la faille de leur application. Selon la compagnie ferroviaire, de telles manipulations sont désormais détectées a posteriori et font l'objet d'une plainte. Pour des raisons de sécurité, les CFF ne communiquent pas la façon exacte dont le contrôle est effectué.
Cet article a été publié automatiquement. Source : ats