Newsletter Developpez.com

Inscrivez-vous gratuitement au Club pour recevoir
la newsletter hebdomadaire des développeurs et IT pro

Hongrie : un jeune de 18 ans arrêté après avoir signalé une faille
Dans le système de vente de billets en ligne d'une compagnie de transport public

Le , par Michael Guilloux, Chroniqueur Actualités
Un jeune hongrois de 18 ans a été arrêté après avoir signalé un bogue dans le système de vente de billets en ligne de Budapesti Közlekedési Központ (BKK), la société supervisant le réseau de transport en commun de Budapest et de sa proche banlieue.

Le jeune homme s’est rendu compte qu’en allant sur le site Web de BKK, et en accédant au mode d'outils de développement de son navigateur, il pouvait modifier le code source de la page pour modifier le prix d'un billet. Aucun mécanisme de validation côté client ou serveur n’ayant été mis en place par l’entreprise, le système BKK a accepté l'opération et a émis un billet de transport mensuel qui coûte normalement environ 35 $ à un prix plus faible de 20 centimes.

Ayant l’évidence d’une telle vulnérabilité dans le système de BKK, il a alors décidé d’en informer l’entreprise. Plutôt que de chercher à le récompenser, la société de transport a trouvé une meilleure idée : le dénoncer à la police afin qu'il soit arrêté. Bien évidemment, il a accédé et modifié le code du système de l'entreprise, ce qui peut être considéré comme un piratage et donc illégal.

L'entreprise a déposé une plainte en accusant le jeune homme d'avoir piraté son système. Il faut toutefois noter que ce dernier ne vit pas à Budapest ou dans la zone qui est couverte par le réseau de transport commun. Autrement dit, il n'avait aucun moyen d'utiliser le billet et le fait qu’il ait signalé ce bogue amateur montre qu’il n’avait pas l’intention de l’exploiter. « Je n'ai pas utilisé le billet, je ne vis même pas près de Budapest, je n'ai jamais voyagé sur une route BKK. Mon objectif était juste de signaler le problème à BKK afin qu’il soit résolu et non de l’utiliser, par exemple, pour vendre les billets à moitié prix », dit-il.

Dans une conférence de presse, BKK s'est toutefois vanté d'avoir arrêté un pirate et a déclaré que ses systèmes étaient sécurisés. Cette déclaration a été perçue comme un défi par certains développeurs qui ont, par la suite, publié sur Twitter d'autres défauts de sécurité qu’ils avaient trouvés dans le système de BKK.


Sur Facebook, des dizaines de milliers de Hongrois ont également montré leur solidarité et apporté leur soutien au jeune homme arrêté par la police. Plus de 45 000 utilisateurs ont laissé des commentaires négatifs sur la page Facebook de l’entreprise. Le jeune hacker a, pour sa part, réitéré qu'il n'avait que de bonnes intentions lorsqu'il a signalé le problème à BKK et a déclaré qu'il espère que l’entreprise retirera sa plainte.

BKK paie environ 1 million de dollars par an pour la maintenance de ses systèmes informatiques. Et le bénéficiaire de ce contrat généreux est l'entreprise locale T-Systems, qui est également connue pour avoir parrainé un concours pour les hackers éthiques. Pour n'avoir pas pu détecter une telle faille dans le système de BKK, T-Systems a également reçu des milliers de critiques sur Facebook.


Source : Bleeping Computer

Et vous ?

Que pensez-vous de la réaction de BKK ?
Qu’auriez-vous fait à la place du jeune homme ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Aurelien Plazzotta Aurelien Plazzotta - Membre éclairé https://www.developpez.com
le 25/07/2017 à 0:54
BBK a l'air fière de payer 1 million de $ par an pour de l'amateurisme à peine voilé. Il ne s'agit même plus d'une faille béante mais carrément d'une absence totale de sécurisation du code, c'est jackpot pour T-Systems.

Il est clair que la vertu est punie en société de nos jours. Il aurait mieux valu que le jeune homme revende des billets à moitié prix...

A sa place, et étant donné qu'en France, c'est toujours le premier qui porte plainte qui gagne le procès, j'aurai porté plainte contre BBK pour diffamation et faux témoignage au Tribunal d'Instance immédiatement après avoir été dénoncé à la police.

Concernant les critiques, c'est juste un coup d'épée dans l'eau. Il n'y a pas eu 45 000 messages négatifs mais uniquement 45 000 fois la note de 1/5; et quand bien même, les messages auraient de toute façon été purgés en 1 heure ou 2..
La réputation des deux boites reste intacte et c'est regrettable. Il doit bien exister un moyen pour les particuliers de détruire la réputation d'une entreprise...
Avatar de Ryu2000 Ryu2000 - Membre expert https://www.developpez.com
le 25/07/2017 à 9:34
Citation Envoyé par Michael Guilloux Voir le message
Que pensez-vous de la réaction de BKK ?
Ils ont mal géré ça...
Quelqu'un vient gentiment leur informer qu'il existe une faille dans leur système de vente de billet et au lieu de le remercier et prendre en compte sa découverte, il le dénonce à la police et n'améliore pas le système.

Ça me rappelle une vieille histoire qu'un prof nous avait raconté, à une époque des chercheurs avaient trouvé une faille dans les distributeurs de billet, ils ont informé la banque et elle a réagit comme BBK...
C'est un peu comme ça :
Cambridge refuse de censurer une thèse sur l’insécurité des cartes bancaires
Mise en demeure par un lobby britannique de paiement par cartes, l'Université de Cambridge a refusé de censurer la thèse d'un étudiant qui démontrait qu'il était possible de payer sans entrer le bon code PIN. Au contraire, elle le soutient.
Citation Envoyé par Michael Guilloux Voir le message
Qu’auriez-vous fait à la place du jeune homme ?
Si c'est un type random, je ne sais pas pourquoi il cherchait des failles sur ce site...
Si à la limite il était le chef d'une entreprise de sécurité, il aurait pu proposer ses services.
Avatar de benjani13 benjani13 - Membre expérimenté https://www.developpez.com
le 25/07/2017 à 10:05
Citation Envoyé par Michael Guilloux Voir le message
Bien évidemment, il a accédé et modifié le code du système de l'entreprise, ce qui peut être considéré comme un piratage et donc illégal.
N'importe quoi! Il a modifié le code coté client! Il n'a pas accédé et modifié le backend ou un quelconque serveur! Dans le droit français en revanche il pourrait être inquiété pour le fait d'entraver ou de fausser un système de traitement automatisé de données.

Bref, l'informatique fait toujours aussi peur et entraîne des réactions judiciaire toujours aussi démesurées.
L'entreprise BKK a réagit de la pire manière qui soit, aveuglément et avec arrogance. Leur image de marque se ternit, et, se faisant connaître de toute la planète de cette manière, il se mettent à dos un tas de pirates beaucoup moins étiques que ce jeune homme.
Avatar de poma88 poma88 - Nouveau membre du Club https://www.developpez.com
le 25/07/2017 à 12:15
Je pense que le mec qui gère Zataz à eu le meme coup à une époque .
Avatar de sinople sinople - Membre chevronné https://www.developpez.com
le 25/07/2017 à 13:10
Citation Envoyé par benjani13 Voir le message
N'importe quoi! Il a modifié le code coté client! Il n'a pas accédé et modifié le backend ou un quelconque serveur! Dans le droit français en revanche il pourrait être inquiété pour le fait d'entraver ou de fausser un système de traitement automatisé de données.

Bref, l'informatique fait toujours aussi peur et entraîne des réactions judiciaire toujours aussi démesurées.
L'entreprise BKK a réagit de la pire manière qui soit, aveuglément et avec arrogance. Leur image de marque se ternit, et, se faisant connaître de toute la planète de cette manière, il se mettent à dos un tas de pirates beaucoup moins étiques que ce jeune homme.
Je pense surtout que la direction n'a aucune compétence dans ces nouvelles technologies et n'a aucune idée de ce qu'elle fait. Ca se voit autant à la réalisation qu'à la réaction.

Ceci dit ce n'est pas un crime d'être à la ramasse, d'autant plus quand c'est un domaine hors du core-business.

Maintenant faut voir de quel façon cette entreprise à attribuer le mandat concernant ce système, parce que à mon avis ça c'est plus joué au backchich qu'autre chose. Mais ça c'est une autre histoire...
Avatar de e-ric e-ric - Membre expert https://www.developpez.com
le 25/07/2017 à 18:56
Salut

Décidément les mauvaises habitudes des entreprises et des institutions sont assez généralisées.
La prochaine fois, il fermera sa gueule et publiera ses découvertes dans le dark net, ce sera vraiment le jackpot pour ces abrutis.

Cdlt
Avatar de Dhafer1 Dhafer1 - Membre régulier https://www.developpez.com
le 26/07/2017 à 0:36
ça me rappel lorsque j'ai signalé un exploit sur le site web d'une très grande entreprise de e-books, même pas un merci rien, sachant que l'exploit pouvait récupérer tous les ebooks détenus par l'entreprise.

Depuis, si c'est de l'Open Source je transmet l'exploit. Si c'est une entreprise et qu'ils n'ont pas de programme Bug Bounty, ben tanpis pour eux.
Avatar de xapon xapon - Nouveau membre du Club https://www.developpez.com
le 26/07/2017 à 7:10
C'est comme tuer le messager car il apporte une mauvaise nouvelle.
Avatar de Ryu2000 Ryu2000 - Membre expert https://www.developpez.com
le 26/07/2017 à 8:17
Citation Envoyé par xapon Voir le message
C'est comme tuer le messager car il apporte une mauvaise nouvelle.
Ouais et en plus au lieu de réparer le problème et que ça reste discret, ça fait parler du problème et ça fait empirer le situation...

Le gars arrive pour rendre service et il se retrouve arrêté...
Avatar de pierre++ pierre++ - Membre habitué https://www.developpez.com
le 27/07/2017 à 10:13
Citation Envoyé par Aurelien Plazzotta Voir le message
Il n'y a pas eu 45 000 messages négatifs mais uniquement 45 000 fois la note de 1/5
Non non quand on va sur leur compte face book ( https://www.facebook.com/pg/bkkbudapest/reviews/) il y a bien 45 000 messages (reviews) négatifs avec la note de 1*.
Offres d'emploi IT
Technicien informatique et réseau H/F
Hexgon Geosystems Services - Ile de France - Le Pecq (78230)
Analyste Production
Solic Group - Centre - St Pierre des Corp
Analyste Fonctionnel Assurance (H/F)
Atos Technology Services - Poitou Charentes - Niort (79000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil