Un jeune hongrois de 18 ans a été arrêté après avoir signalé un bogue dans le système de vente de billets en ligne de Budapesti Közlekedési Központ (BKK), la société supervisant le réseau de transport en commun de Budapest et de sa proche banlieue.
Le jeune homme s’est rendu compte qu’en allant sur le site Web de BKK, et en accédant au mode d'outils de développement de son navigateur, il pouvait modifier le code source de la page pour modifier le prix d'un billet. Aucun mécanisme de validation côté client ou serveur n’ayant été mis en place par l’entreprise, le système BKK a accepté l'opération et a émis un billet de transport mensuel qui coûte normalement environ 35 $ à un prix plus faible de 20 centimes.
Ayant l’évidence d’une telle vulnérabilité dans le système de BKK, il a alors décidé d’en informer l’entreprise. Plutôt que de chercher à le récompenser, la société de transport a trouvé une meilleure idée : le dénoncer à la police afin qu'il soit arrêté. Bien évidemment, il a accédé et modifié le code du système de l'entreprise, ce qui peut être considéré comme un piratage et donc illégal.
L'entreprise a déposé une plainte en accusant le jeune homme d'avoir piraté son système. Il faut toutefois noter que ce dernier ne vit pas à Budapest ou dans la zone qui est couverte par le réseau de transport commun. Autrement dit, il n'avait aucun moyen d'utiliser le billet et le fait qu’il ait signalé ce bogue amateur montre qu’il n’avait pas l’intention de l’exploiter. « Je n'ai pas utilisé le billet, je ne vis même pas près de Budapest, je n'ai jamais voyagé sur une route BKK. Mon objectif était juste de signaler le problème à BKK afin qu’il soit résolu et non de l’utiliser, par exemple, pour vendre les billets à moitié prix », dit-il.
Dans une conférence de presse, BKK s'est toutefois vanté d'avoir arrêté un pirate et a déclaré que ses systèmes étaient sécurisés. Cette déclaration a été perçue comme un défi par certains développeurs qui ont, par la suite, publié sur Twitter d'autres défauts de sécurité qu’ils avaient trouvés dans le système de BKK.
Sur Facebook, des dizaines de milliers de Hongrois ont également montré leur solidarité et apporté leur soutien au jeune homme arrêté par la police. Plus de 45 000 utilisateurs ont laissé des commentaires négatifs sur la page Facebook de l’entreprise. Le jeune hacker a, pour sa part, réitéré qu'il n'avait que de bonnes intentions lorsqu'il a signalé le problème à BKK et a déclaré qu'il espère que l’entreprise retirera sa plainte.
BKK paie environ 1 million de dollars par an pour la maintenance de ses systèmes informatiques. Et le bénéficiaire de ce contrat généreux est l'entreprise locale T-Systems, qui est également connue pour avoir parrainé un concours pour les hackers éthiques. Pour n'avoir pas pu détecter une telle faille dans le système de BKK, T-Systems a également reçu des milliers de critiques sur Facebook.
Source : Bleeping Computer
Et vous ?
Que pensez-vous de la réaction de BKK ?
Qu’auriez-vous fait à la place du jeune homme ?
Hongrie : un jeune de 18 ans arrêté après avoir signalé une faille
Dans le système de vente de billets en ligne d'une compagnie de transport public
Hongrie : un jeune de 18 ans arrêté après avoir signalé une faille
Dans le système de vente de billets en ligne d'une compagnie de transport public
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !