Des scientifiques ont déjoué la fonction EasyRide de l'application CFF
En bref
- Les utilisatrices et utilisateurs suffisamment expérimentés peuvent manipuler les données de localisation de leur smartphone.
- C'est ainsi que des chercheurs et chercheuses de l'ETH Zurich ont réussi à tromper l'application des Chemins de fer fédéraux suisses (CFF). Ils et elles ont montré qu'il était possible de voyager gratuitement sur les rails.
- Les scientifiques ont informé les CFF. L'entreprise a déclaré avoir pris les mesures nécessaires. Désormais, ce type de fraude aux billets sera détecté au moins a posteriori et sanctionné.
Au lieu d'acheter un billet classique, les personnes qui utilisent la fonction EasyRide de l'application CFF peuvent commencer leur voyage d'un simple geste sur leur smartphone. Une fois arrivé à destination, il suffit de glisser le doigt dans l'autre sens pour passer à nouveau à la caisse. Un code QR visible dans l'application fait office de billet. Il confirme au contrôleur ou à la contrôleuse que la fonction EasyRide a été activée. Pendant le trajet, l'application transmet en permanence des données de localisation à un serveur des CFF. Le serveur utilise ces données pour calculer l'itinéraire parcouru, ce qui permet aux CFF de facturer le prix du trajet à l'utilisateur ou utilisatrice.
EasyRide est disponible dans toute la Suisse depuis 2018. L'année dernière, des chercheuses et chercheurs de l'ETH Zurich ont toutefois réussi à tromper le système. La fonction EasyRide repose sur les données de localisation des smartphones, mais les utilisatrices et utilisateurs ayant des connaissances spécialisées peuvent manipuler ces informations. Les CFF affirment qu'ils peuvent désormais détecter ce type de fraude sur les billets.
Les contrôleurs et contrôleuses n'ont rien remarqué
Il y a un an, la situation était différente : des chercheuses et chercheurs et des étudiants et étudiantes appartenant au groupe dirigé par Kaveh Razavi, professeur de sécurité informatique à l'ETH Zurich, soupçonnaient que la fonction EasyRide pouvait être déjouée, et ils et ellesont donc mis leurs soupçons à l'épreuve. Elles et ils ont modifié un smartphone de manière à ce que ses données GPS - auxquelles l'application CFF accède - soient remplacées par des informations de localisation fausses mais réalistes. Ces données simulaient que l'utilisateur ou utilisatrice se déplaçait uniquement dans une petite zone d'une ville sans utiliser les transports publics. Les chercheurs et chercheuses ont utilisé deux approches : Dans un cas, un programme a généré les fausses données de localisation directement sur le smartphone. Dans l'autre cas, le smartphone était connecté à un serveur exécutant l'application CFF. Ce serveur générait de fausses données de localisation et transmettait le code QR EasyRide au smartphone.
Les scientifiques de l'ETH Zurich ont testé leur smartphone spécialement préparé lors de plusieurs trajets en train entre Zurich et la capitale d'un canton voisin. Leur supercherie n'a pas été remarquée par le contrôleur ou la contrôleuse et elles et ils n'ont pas été contactés par les CFF par la suite. Au contraire, les CFF ont calculé les coûts des faux petits déplacements pour lesquels aucun transport public n'a été utilisé. En d'autres termes, les scientifiques ont pu voyager gratuitement avec EasyRide. Ils et elles soulignent que si elles et ils ont montré le code QR d'EasyRide au contrôleur, ils et elles étaient également en possession d'un titre de transport valable à tout moment.
Les données de localisation d'aujourd'hui ne sont pas fiables
Bien qu'une personne doive avoir des connaissances spécialisées pour manipuler son smartphone, Kaveh Razavi affirme que l'expertise nécessaire est courante chez les étudiants et étudiantes en master d'informatique. Avec une bonne dose d'ambition criminelle, il serait même possible de proposer un programme pour smartphone associé à un service en ligne pour fournir aux escrocs dépourvus des compétences informatiques requises des données de localisation fausses, mais plausibles.
«La vérité fondamentale est que les données de localisation des smartphones peuvent être manipulées et qu'on ne peut pas s'y fier entièrement», explique Michele Marazzi, doctorant dans le groupe de Kaveh Razavi. «Les développeuses et développeurs d'applications ne devraient donc pas considérer ces données comme fiables. C'est ce que nous voulions mettre en évidence dans notre projet». Lorsque les données de localisation sont utilisées comme base de calcul et de facturation d'un service, comme c'est le cas dans l'application des CFF, cette vulnérabilité doit faire l'objet d'une plus grande attention.
Comparaison avec des données fiables requises
Les scientifiques proposent deux façons de résoudre le problème : soit les données de localisation doivent être vérifiées à l'aide de notifications de positionnement fiables, soit les smartphones doivent être conçus de manière à rendre une telle manipulation beaucoup plus difficile. Pour la première approche, il serait possible de comparer les données fournies par le smartphone de l'utilisateur ou utilisatrice avec les données de localisation auxquelles la société de transport fait confiance, telles que celles fournies par le véhicule ou un appareil mobile transporté par la contrôleuse ou le contrôleur.
La seconde approche est plus délicate : il faudrait convaincre les développeurs et développeuses de matériel et de systèmes d'exploitation pour smartphones de déployer un nouveau type de technologie de localisation inviolable. «En attendant, tous les services qui sont obligés de s'appuyer sur les informations de localisation fournies par les smartphones n'ont d'autre choix que de vérifier ces données du mieux qu'ils peuvent en utilisant une source fiable de données de localisation», explique le professeur Kaveh Razavi de l'ETH Zurich.
Les chercheurs et chercheuses de l'ETH Zurich ont informé les CFF de la vulnérabilité de la fonction EasyRide, sont restées en contact avec les expertes et experts de l'entreprise au cours de l'année écoulée et leur ont présenté leurs solutions pour rendre la fonction plus sûre.
Les CFF soulignent que l'utilisation de la fonction EasyRide en combinaison avec des données de localisation manipulées constitue un délit. Selon les CFF, l'entreprise a amélioré la vérification des données de localisation transmises au serveur suite aux informations fournies par l'équipe de recherche de l'ETH Zurich. Les manipulations sont désormais détectées a posteriori et les contrevenantes et contrevenants sont poursuivis. Pour des raisons de sécurité, les CFF ne divulguent pas les modalités exactes du contrôle.