Developpez.com

Le Club des Développeurs et IT Pro

Hongrie : un jeune de 18 ans arrêté après avoir signalé une faille

Dans le système de vente de billets en ligne d'une compagnie de transport public

Le 2017-07-24 21:34:25, par Michael Guilloux, Chroniqueur Actualités
Un jeune hongrois de 18 ans a été arrêté après avoir signalé un bogue dans le système de vente de billets en ligne de Budapesti Közlekedési Központ (BKK), la société supervisant le réseau de transport en commun de Budapest et de sa proche banlieue.

Le jeune homme s’est rendu compte qu’en allant sur le site Web de BKK, et en accédant au mode d'outils de développement de son navigateur, il pouvait modifier le code source de la page pour modifier le prix d'un billet. Aucun mécanisme de validation côté client ou serveur n’ayant été mis en place par l’entreprise, le système BKK a accepté l'opération et a émis un billet de transport mensuel qui coûte normalement environ 35 $ à un prix plus faible de 20 centimes.

Ayant l’évidence d’une telle vulnérabilité dans le système de BKK, il a alors décidé d’en informer l’entreprise. Plutôt que de chercher à le récompenser, la société de transport a trouvé une meilleure idée : le dénoncer à la police afin qu'il soit arrêté. Bien évidemment, il a accédé et modifié le code du système de l'entreprise, ce qui peut être considéré comme un piratage et donc illégal.

L'entreprise a déposé une plainte en accusant le jeune homme d'avoir piraté son système. Il faut toutefois noter que ce dernier ne vit pas à Budapest ou dans la zone qui est couverte par le réseau de transport commun. Autrement dit, il n'avait aucun moyen d'utiliser le billet et le fait qu’il ait signalé ce bogue amateur montre qu’il n’avait pas l’intention de l’exploiter. « Je n'ai pas utilisé le billet, je ne vis même pas près de Budapest, je n'ai jamais voyagé sur une route BKK. Mon objectif était juste de signaler le problème à BKK afin qu’il soit résolu et non de l’utiliser, par exemple, pour vendre les billets à moitié prix », dit-il.

Dans une conférence de presse, BKK s'est toutefois vanté d'avoir arrêté un pirate et a déclaré que ses systèmes étaient sécurisés. Cette déclaration a été perçue comme un défi par certains développeurs qui ont, par la suite, publié sur Twitter d'autres défauts de sécurité qu’ils avaient trouvés dans le système de BKK.


Sur Facebook, des dizaines de milliers de Hongrois ont également montré leur solidarité et apporté leur soutien au jeune homme arrêté par la police. Plus de 45 000 utilisateurs ont laissé des commentaires négatifs sur la page Facebook de l’entreprise. Le jeune hacker a, pour sa part, réitéré qu'il n'avait que de bonnes intentions lorsqu'il a signalé le problème à BKK et a déclaré qu'il espère que l’entreprise retirera sa plainte.

BKK paie environ 1 million de dollars par an pour la maintenance de ses systèmes informatiques. Et le bénéficiaire de ce contrat généreux est l'entreprise locale T-Systems, qui est également connue pour avoir parrainé un concours pour les hackers éthiques. Pour n'avoir pas pu détecter une telle faille dans le système de BKK, T-Systems a également reçu des milliers de critiques sur Facebook.


Source : Bleeping Computer

Et vous ?

Que pensez-vous de la réaction de BKK ?
Qu’auriez-vous fait à la place du jeune homme ?
  Discussion forum
13 commentaires
  • xapon
    Membre habitué
    C'est comme tuer le messager car il apporte une mauvaise nouvelle.
    le 26/07/2017 à 7:10
  • Aurelien Plazzotta
    Membre extrêmement actif
    BBK a l'air fière de payer 1 million de $ par an pour de l'amateurisme à peine voilé. Il ne s'agit même plus d'une faille béante mais carrément d'une absence totale de sécurisation du code, c'est jackpot pour T-Systems.

    Il est clair que la vertu est punie en société de nos jours. Il aurait mieux valu que le jeune homme revende des billets à moitié prix...

    A sa place, et étant donné qu'en France, c'est toujours le premier qui porte plainte qui gagne le procès, j'aurai porté plainte contre BBK pour diffamation et faux témoignage au Tribunal d'Instance immédiatement après avoir été dénoncé à la police.

    Concernant les critiques, c'est juste un coup d'épée dans l'eau. Il n'y a pas eu 45 000 messages négatifs mais uniquement 45 000 fois la note de 1/5; et quand bien même, les messages auraient de toute façon été purgés en 1 heure ou 2..
    La réputation des deux boites reste intacte et c'est regrettable. Il doit bien exister un moyen pour les particuliers de détruire la réputation d'une entreprise...
    le 25/07/2017 à 0:54
  • e-ric
    Membre expert
    Salut

    Décidément les mauvaises habitudes des entreprises et des institutions sont assez généralisées.
    La prochaine fois, il fermera sa gueule et publiera ses découvertes dans le dark net, ce sera vraiment le jackpot pour ces abrutis.

    Cdlt
    le 25/07/2017 à 18:56
  • benjani13
    Membre extrêmement actif
    Envoyé par Michael Guilloux
    Bien évidemment, il a accédé et modifié le code du système de l'entreprise, ce qui peut être considéré comme un piratage et donc illégal.
    N'importe quoi! Il a modifié le code coté client! Il n'a pas accédé et modifié le backend ou un quelconque serveur! Dans le droit français en revanche il pourrait être inquiété pour le fait d'entraver ou de fausser un système de traitement automatisé de données.

    Bref, l'informatique fait toujours aussi peur et entraîne des réactions judiciaire toujours aussi démesurées.
    L'entreprise BKK a réagit de la pire manière qui soit, aveuglément et avec arrogance. Leur image de marque se ternit, et, se faisant connaître de toute la planète de cette manière, il se mettent à dos un tas de pirates beaucoup moins étiques que ce jeune homme.
    le 25/07/2017 à 10:05
  • Dhafer1
    Membre habitué
    ça me rappel lorsque j'ai signalé un exploit sur le site web d'une très grande entreprise de e-books, même pas un merci rien, sachant que l'exploit pouvait récupérer tous les ebooks détenus par l'entreprise.

    Depuis, si c'est de l'Open Source je transmet l'exploit. Si c'est une entreprise et qu'ils n'ont pas de programme Bug Bounty, ben tanpis pour eux.
    le 26/07/2017 à 0:36
  • Ryu2000
    Membre extrêmement actif
    Envoyé par Michael Guilloux
    Que pensez-vous de la réaction de BKK ?
    Ils ont mal géré ça...
    Quelqu'un vient gentiment leur informer qu'il existe une faille dans leur système de vente de billet et au lieu de le remercier et prendre en compte sa découverte, il le dénonce à la police et n'améliore pas le système.

    Ça me rappelle une vieille histoire qu'un prof nous avait raconté, à une époque des chercheurs avaient trouvé une faille dans les distributeurs de billet, ils ont informé la banque et elle a réagit comme BBK...
    C'est un peu comme ça :
    Cambridge refuse de censurer une thèse sur l’insécurité des cartes bancaires
    Mise en demeure par un lobby britannique de paiement par cartes, l'Université de Cambridge a refusé de censurer la thèse d'un étudiant qui démontrait qu'il était possible de payer sans entrer le bon code PIN. Au contraire, elle le soutient.
    Envoyé par Michael Guilloux
    Qu’auriez-vous fait à la place du jeune homme ?
    Si c'est un type random, je ne sais pas pourquoi il cherchait des failles sur ce site...
    Si à la limite il était le chef d'une entreprise de sécurité, il aurait pu proposer ses services.
    le 25/07/2017 à 9:34
  • sinople
    Membre chevronné
    Envoyé par benjani13
    N'importe quoi! Il a modifié le code coté client! Il n'a pas accédé et modifié le backend ou un quelconque serveur! Dans le droit français en revanche il pourrait être inquiété pour le fait d'entraver ou de fausser un système de traitement automatisé de données.

    Bref, l'informatique fait toujours aussi peur et entraîne des réactions judiciaire toujours aussi démesurées.
    L'entreprise BKK a réagit de la pire manière qui soit, aveuglément et avec arrogance. Leur image de marque se ternit, et, se faisant connaître de toute la planète de cette manière, il se mettent à dos un tas de pirates beaucoup moins étiques que ce jeune homme.
    Je pense surtout que la direction n'a aucune compétence dans ces nouvelles technologies et n'a aucune idée de ce qu'elle fait. Ca se voit autant à la réalisation qu'à la réaction.

    Ceci dit ce n'est pas un crime d'être à la ramasse, d'autant plus quand c'est un domaine hors du core-business.

    Maintenant faut voir de quel façon cette entreprise à attribuer le mandat concernant ce système, parce que à mon avis ça c'est plus joué au backchich qu'autre chose. Mais ça c'est une autre histoire...
    le 25/07/2017 à 13:10
  • Escapetiger
    Expert éminent sénior
    Envoyé par Ryu2000
    ... Ça me rappelle une vieille histoire qu'un prof nous avait raconté, à une époque des chercheurs avaient trouvé une faille dans les distributeurs de billet, ils ont informé la banque et elle a réagit comme BBK...
    ...
    Oui, 20 ans après et les alerteurs sont toujours aussi bien vus
    En 1997, il met en évidence une faille dans le système de sécurité des cartes bancaires. Cette faille permet de créer des cartes acceptées par les terminaux, mais non liées à un compte bancaire.

    Épaulé par un avocat, il tente – sans succès – de négocier son « savoir-faire » auprès du GIE des cartes bancaires. Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant un carnet de tickets de métro au moyen d'une carte de sa fabrication dans un distributeur automatique. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue.
    cf. Serge Humpich
    le 28/07/2017 à 14:33
  • poma88
    Membre régulier
    Je pense que le mec qui gère Zataz à eu le meme coup à une époque .
    le 25/07/2017 à 12:15
  • pierre++
    Membre actif
    Envoyé par Aurelien Plazzotta
    Il n'y a pas eu 45 000 messages négatifs mais uniquement 45 000 fois la note de 1/5
    Non non quand on va sur leur compte face book ( https://www.facebook.com/pg/bkkbudapest/reviews/) il y a bien 45 000 messages (reviews) négatifs avec la note de 1*.
    le 27/07/2017 à 10:13
  Poster une réponse