Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Hongrie : un jeune de 18 ans arrêté après avoir signalé une faille
Dans le système de vente de billets en ligne d'une compagnie de transport public

Le , par Michael Guilloux

229PARTAGES

15  1 
Un jeune hongrois de 18 ans a été arrêté après avoir signalé un bogue dans le système de vente de billets en ligne de Budapesti Közlekedési Központ (BKK), la société supervisant le réseau de transport en commun de Budapest et de sa proche banlieue.

Le jeune homme s’est rendu compte qu’en allant sur le site Web de BKK, et en accédant au mode d'outils de développement de son navigateur, il pouvait modifier le code source de la page pour modifier le prix d'un billet. Aucun mécanisme de validation côté client ou serveur n’ayant été mis en place par l’entreprise, le système BKK a accepté l'opération et a émis un billet de transport mensuel qui coûte normalement environ 35 $ à un prix plus faible de 20 centimes.

Ayant l’évidence d’une telle vulnérabilité dans le système de BKK, il a alors décidé d’en informer l’entreprise. Plutôt que de chercher à le récompenser, la société de transport a trouvé une meilleure idée : le dénoncer à la police afin qu'il soit arrêté. Bien évidemment, il a accédé et modifié le code du système de l'entreprise, ce qui peut être considéré comme un piratage et donc illégal.

L'entreprise a déposé une plainte en accusant le jeune homme d'avoir piraté son système. Il faut toutefois noter que ce dernier ne vit pas à Budapest ou dans la zone qui est couverte par le réseau de transport commun. Autrement dit, il n'avait aucun moyen d'utiliser le billet et le fait qu’il ait signalé ce bogue amateur montre qu’il n’avait pas l’intention de l’exploiter. « Je n'ai pas utilisé le billet, je ne vis même pas près de Budapest, je n'ai jamais voyagé sur une route BKK. Mon objectif était juste de signaler le problème à BKK afin qu’il soit résolu et non de l’utiliser, par exemple, pour vendre les billets à moitié prix », dit-il.

Dans une conférence de presse, BKK s'est toutefois vanté d'avoir arrêté un pirate et a déclaré que ses systèmes étaient sécurisés. Cette déclaration a été perçue comme un défi par certains développeurs qui ont, par la suite, publié sur Twitter d'autres défauts de sécurité qu’ils avaient trouvés dans le système de BKK.


Sur Facebook, des dizaines de milliers de Hongrois ont également montré leur solidarité et apporté leur soutien au jeune homme arrêté par la police. Plus de 45 000 utilisateurs ont laissé des commentaires négatifs sur la page Facebook de l’entreprise. Le jeune hacker a, pour sa part, réitéré qu'il n'avait que de bonnes intentions lorsqu'il a signalé le problème à BKK et a déclaré qu'il espère que l’entreprise retirera sa plainte.

BKK paie environ 1 million de dollars par an pour la maintenance de ses systèmes informatiques. Et le bénéficiaire de ce contrat généreux est l'entreprise locale T-Systems, qui est également connue pour avoir parrainé un concours pour les hackers éthiques. Pour n'avoir pas pu détecter une telle faille dans le système de BKK, T-Systems a également reçu des milliers de critiques sur Facebook.


Source : Bleeping Computer

Et vous ?

Que pensez-vous de la réaction de BKK ?
Qu’auriez-vous fait à la place du jeune homme ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de xapon
Membre régulier https://www.developpez.com
Le 26/07/2017 à 7:10
C'est comme tuer le messager car il apporte une mauvaise nouvelle.
9  0 
Avatar de Aurelien Plazzotta
Membre extrêmement actif https://www.developpez.com
Le 25/07/2017 à 0:54
BBK a l'air fière de payer 1 million de $ par an pour de l'amateurisme à peine voilé. Il ne s'agit même plus d'une faille béante mais carrément d'une absence totale de sécurisation du code, c'est jackpot pour T-Systems.

Il est clair que la vertu est punie en société de nos jours. Il aurait mieux valu que le jeune homme revende des billets à moitié prix...

A sa place, et étant donné qu'en France, c'est toujours le premier qui porte plainte qui gagne le procès, j'aurai porté plainte contre BBK pour diffamation et faux témoignage au Tribunal d'Instance immédiatement après avoir été dénoncé à la police.

Concernant les critiques, c'est juste un coup d'épée dans l'eau. Il n'y a pas eu 45 000 messages négatifs mais uniquement 45 000 fois la note de 1/5; et quand bien même, les messages auraient de toute façon été purgés en 1 heure ou 2..
La réputation des deux boites reste intacte et c'est regrettable. Il doit bien exister un moyen pour les particuliers de détruire la réputation d'une entreprise...
8  0 
Avatar de e-ric
Membre expert https://www.developpez.com
Le 25/07/2017 à 18:56
Salut

Décidément les mauvaises habitudes des entreprises et des institutions sont assez généralisées.
La prochaine fois, il fermera sa gueule et publiera ses découvertes dans le dark net, ce sera vraiment le jackpot pour ces abrutis.

Cdlt
6  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 25/07/2017 à 10:05
Citation Envoyé par Michael Guilloux Voir le message
Bien évidemment, il a accédé et modifié le code du système de l'entreprise, ce qui peut être considéré comme un piratage et donc illégal.
N'importe quoi! Il a modifié le code coté client! Il n'a pas accédé et modifié le backend ou un quelconque serveur! Dans le droit français en revanche il pourrait être inquiété pour le fait d'entraver ou de fausser un système de traitement automatisé de données.

Bref, l'informatique fait toujours aussi peur et entraîne des réactions judiciaire toujours aussi démesurées.
L'entreprise BKK a réagit de la pire manière qui soit, aveuglément et avec arrogance. Leur image de marque se ternit, et, se faisant connaître de toute la planète de cette manière, il se mettent à dos un tas de pirates beaucoup moins étiques que ce jeune homme.
5  0 
Avatar de Dhafer1
Membre habitué https://www.developpez.com
Le 26/07/2017 à 0:36
ça me rappel lorsque j'ai signalé un exploit sur le site web d'une très grande entreprise de e-books, même pas un merci rien, sachant que l'exploit pouvait récupérer tous les ebooks détenus par l'entreprise.

Depuis, si c'est de l'Open Source je transmet l'exploit. Si c'est une entreprise et qu'ils n'ont pas de programme Bug Bounty, ben tanpis pour eux.
5  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 25/07/2017 à 9:34
Citation Envoyé par Michael Guilloux Voir le message
Que pensez-vous de la réaction de BKK ?
Ils ont mal géré ça...
Quelqu'un vient gentiment leur informer qu'il existe une faille dans leur système de vente de billet et au lieu de le remercier et prendre en compte sa découverte, il le dénonce à la police et n'améliore pas le système.

Ça me rappelle une vieille histoire qu'un prof nous avait raconté, à une époque des chercheurs avaient trouvé une faille dans les distributeurs de billet, ils ont informé la banque et elle a réagit comme BBK...
C'est un peu comme ça :
Cambridge refuse de censurer une thèse sur l’insécurité des cartes bancaires
Mise en demeure par un lobby britannique de paiement par cartes, l'Université de Cambridge a refusé de censurer la thèse d'un étudiant qui démontrait qu'il était possible de payer sans entrer le bon code PIN. Au contraire, elle le soutient.
Citation Envoyé par Michael Guilloux Voir le message
Qu’auriez-vous fait à la place du jeune homme ?
Si c'est un type random, je ne sais pas pourquoi il cherchait des failles sur ce site...
Si à la limite il était le chef d'une entreprise de sécurité, il aurait pu proposer ses services.
2  0 
Avatar de sinople
Membre chevronné https://www.developpez.com
Le 25/07/2017 à 13:10
Citation Envoyé par benjani13 Voir le message
N'importe quoi! Il a modifié le code coté client! Il n'a pas accédé et modifié le backend ou un quelconque serveur! Dans le droit français en revanche il pourrait être inquiété pour le fait d'entraver ou de fausser un système de traitement automatisé de données.

Bref, l'informatique fait toujours aussi peur et entraîne des réactions judiciaire toujours aussi démesurées.
L'entreprise BKK a réagit de la pire manière qui soit, aveuglément et avec arrogance. Leur image de marque se ternit, et, se faisant connaître de toute la planète de cette manière, il se mettent à dos un tas de pirates beaucoup moins étiques que ce jeune homme.
Je pense surtout que la direction n'a aucune compétence dans ces nouvelles technologies et n'a aucune idée de ce qu'elle fait. Ca se voit autant à la réalisation qu'à la réaction.

Ceci dit ce n'est pas un crime d'être à la ramasse, d'autant plus quand c'est un domaine hors du core-business.

Maintenant faut voir de quel façon cette entreprise à attribuer le mandat concernant ce système, parce que à mon avis ça c'est plus joué au backchich qu'autre chose. Mais ça c'est une autre histoire...
2  0 
Avatar de Escapetiger
Expert éminent https://www.developpez.com
Le 28/07/2017 à 14:33
Citation Envoyé par Ryu2000 Voir le message
... Ça me rappelle une vieille histoire qu'un prof nous avait raconté, à une époque des chercheurs avaient trouvé une faille dans les distributeurs de billet, ils ont informé la banque et elle a réagit comme BBK...
...
Oui, 20 ans après et les alerteurs sont toujours aussi bien vus
En 1997, il met en évidence une faille dans le système de sécurité des cartes bancaires. Cette faille permet de créer des cartes acceptées par les terminaux, mais non liées à un compte bancaire.

Épaulé par un avocat, il tente – sans succès – de négocier son « savoir-faire » auprès du GIE des cartes bancaires. Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant un carnet de tickets de métro au moyen d'une carte de sa fabrication dans un distributeur automatique. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue.
cf. Serge Humpich
2  0 
Avatar de poma88
Membre du Club https://www.developpez.com
Le 25/07/2017 à 12:15
Je pense que le mec qui gère Zataz à eu le meme coup à une époque .
1  0 
Avatar de pierre++
Membre actif https://www.developpez.com
Le 27/07/2017 à 10:13
Citation Envoyé par Aurelien Plazzotta Voir le message
Il n'y a pas eu 45 000 messages négatifs mais uniquement 45 000 fois la note de 1/5
Non non quand on va sur leur compte face book ( https://www.facebook.com/pg/bkkbudapest/reviews/) il y a bien 45 000 messages (reviews) négatifs avec la note de 1*.
1  0