Grâce à la fonction Easyride de l’appli CFFp, voyager en train, en bus et en tram est très simple : au lieu d’acheter un billet classique, les utilisateurs commencent leur trajet en balayant leur smartphone. A la fin de leur trajet, ils balayent à nouveau la carte et quittent le train. Un code QR affiché sur le smartphone leur sert de titre de transport. Il confirme à un contrôleur de billets que la fonction Easyride est activée. Pendant le trajet, l’application envoie en permanence des données de localisation à un serveur des CFF. Le serveur calcule alors la distance parcourue et les CFF facturent ensuite le trajet à l’utilisateur.
Easyride est utilisé depuis 2018 dans toute la Suisse. L’année dernière, des chercheurs ont toutefois réussi à déjouer le système. La fonction Easyride s’appuie sur les données de localisation du smartphone. Les utilisateurs disposant de connaissances spécialisées peuvent toutefois manipuler ces données. Selon les CFF, une telle fraude serait aujourd’hui détectée.
Le contrôleur n’a rien remarqué
Il y a un an, il en allait autrement : des chercheurs et des étudiants du groupe de Kaveh Razavi, professeur de sécurité informatique à l’EPF de Zurich, ont supposé à l’époque que la fonction Easyride pouvait être trompée et l’ont mise à l’épreuve. Ils ont modifié les smartphones de manière à ce que leurs données de localisation GPS - auxquelles l’application CFF a accès - soient remplacées par des informations de localisation falsifiées mais réalistes. Ces données faisaient croire à l’utilisateur qu’il se déplaçait exclusivement dans un espace restreint d’une ville, sans utiliser les transports publics.Les chercheurs ont utilisé deux approches : Dans un cas, un programme a généré les données de localisation falsifiées directement sur le smartphone. Dans l’autre cas, le smartphone était connecté à un serveur sur lequel fonctionnait l’application CFF. Ce serveur a généré les fausses données de localisation et a transmis le code QR Easyride au smartphone.
"Les données de localisation d’un smartphone peuvent être manipulées et on ne peut pas s’y fier".
Les chercheurs ont testé le smartphone qu’ils avaient préparé lors de plusieurs trajets en train de Zurich à la capitale d’un canton voisin. La fraude n’a pas été remarquée lors des contrôles de billets dans le train, et les CFF n’ont pas non plus contacté les utilisateurs qui avaient triché après coup. Au lieu de cela, les CFF ont calculé les coûts des faux mouvements à petite échelle pour lesquels aucun moyen de transport public n’a été utilisé. Cela signifie que les chercheurs ont pu voyager gratuitement avec Easyride. Ils soulignent que lors de tous les tests, ils avaient en outre toujours un billet valable sur eux. Ils ont toutefois montré le code QR Easyride au contrôleur de billets.
Les données de localisation ne sont pas fiables
Certes, il faut des connaissances techniques pour manipuler son propre smartphone. Mais ce sont des connaissances que les étudiants en informatique possèdent déjà au niveau du bachelor, explique Razavi. Avec l’énergie criminelle correspondante, il serait même possible de proposer un programme pour smartphone et un service en ligne permettant de fournir des données de localisation falsifiées, mais paraissant plausibles, à des personnes désireuses de frauder et n’ayant pas de connaissances en informatique."C’est tout à fait fondamental : les données de localisation d’un smartphone peuvent être manipulées et on ne peut pas leur faire confiance", explique Michele Marazzi, doctorant dans le groupe de Razavi. "Les développeurs d’applications ne devraient donc pas les traiter comme des données fiables. C’est ce que nous voulions attirer l’attention avec notre travail". Selon lui, si les données de localisation sont utilisées, comme dans l’app des CFF, pour calculer et facturer une prestation, cela devrait être mieux pris en compte.
Comparaison avec des données fiables
Pour résoudre le problème, les chercheurs proposent deux approches : Soit les données de localisation doivent être vérifiées à l’aide de messages de localisation fiables, soit la localisation du smartphone doit être fondamentalement modifiée afin de rendre une manipulation beaucoup plus difficile. Dans la première approche, il serait par exemple possible de comparer les informations transmises par le smartphone d’un utilisateur avec des données de localisation auxquelles une entreprise de transport fait confiance, par exemple celles du véhicule ou de l’appareil mobile d’un contrôleur.La deuxième approche est plus difficile. Elle nécessiterait de réunir les développeurs de matériel et de systèmes d’exploitation pour smartphones et de les convaincre de mettre au point une nouvelle technologie de localisation inviolable. "En attendant, tous ceux qui doivent se fier aux informations de localisation des smartphones n’ont pas d’autre choix que de les vérifier autant que possible avec une source de données de localisation fiable", explique le professeur Razavi de l’ETH.
Les chercheurs ont informé les CFF du point faible de la fonction Easyride et ont été en contact avec leurs spécialistes au cours de l’année dernière. Ils leur ont également présenté les solutions permettant d’améliorer la sécurité de cette fonction.
Les CFF tiennent à préciser qu’il est punissable d’utiliser la fonction Easyride avec des données de localisation manipulées. Selon leurs propres indications, les CFF ont amélioré la vérification des données de localisation transmises au serveur suite aux remarques de l’équipe de chercheurs de l’EPFZ. Selon les CFF, les manipulations sont aujourd’hui détectées a posteriori et font l’objet d’une plainte. Pour des raisons de sécurité, les CFF ne dévoilent pas les modalités exactes de cette vérification.
