Des chercheurs déjouent la fonction Easyride des CFF

Gr?ce à la fonction Easyride de l'application CFF, voyager en train, en bus ou en tram est très simple : au lieu d'acheter un billet classique, les utilisateurs commencent leur trajet en effleurant leur smartphone. A la fin du trajet, ils glissent à nouveau vers l'arrière pour valider leur départ. Un code QR affiché sur le smartphone leur sert de titre de transport. Il confirme à un contr?leur de billets que la fonction Easyride est activée. Pendant le trajet, l'application envoie en permanence des données de localisation à un serveur des CFF. Le serveur calcule alors la distance parcourue et les CFF facturent ensuite à l'utilisateur le co?t du trajet.

Easyride est en service dans toute la Suisse depuis 2018. L'année dernière, des chercheurs de l'ETH sont toutefois parvenus à déjouer le système. La fonction Easyride s'appuie sur les données de localisation du smartphone. Les utilisateurs disposant de connaissances spécialisées peuvent toutefois manipuler ces données. Selon les CFF, une telle fraude serait aujourd'hui détectée.

Les contr?leurs n'ont rien remarqué

Il y a un an, c'était différent : des chercheurs et des étudiants du groupe de Kaveh Razavi, professeur de sécurité informatique à l'ETH Zurich, soup?onnaient alors que la fonction Easyride pouvait être trompée et l'ont mise à l'épreuve. Ils ont modifié un smartphone de manière à ce que ses données de localisation GPS - auxquelles l'application CFF a accès - soient remplacées par des informations de localisation falsifiées mais réalistes. Ces données faisaient croire que l'utilisateur se dépla?ait exclusivement dans un espace restreint d'une ville, sans utiliser les transports publics.

Les chercheurs ont utilisé deux approches : Dans un cas, un programme a généré les données de localisation falsifiées directement sur le smartphone. Dans l'autre cas, le smartphone était connecté à un serveur sur lequel fonctionnait l'application CFF. Ce serveur a généré les données de localisation falsifiées et a transmis le code QR Easyride au smartphone.

Les chercheurs de l'ETH Zurich ont testé le smartphone qu'ils avaient préparé lors de plusieurs trajets en train de Zurich à la capitale d'un canton voisin. La fraude n'a pas été remarquée lors des contr?les de billets dans le train et les utilisateurs tricheurs n'ont pas été contactés par la suite par les CFF. Au lieu de cela, les CFF ont calculé les co?ts des faux mouvements à petite échelle pour lesquels aucun moyen de transport public n'a été utilisé. Cela signifie que les chercheurs ont pu voyager gratuitement avec Easyride. Ils soulignent que lors de tous les tests, ils avaient toujours un billet valable sur eux. Ils ont toutefois montré le code QR Easyride au contr?leur de billets.

Les données de localisation ne sont pas fiables

Certes, il faut des connaissances spécialisées pour manipuler son propre smartphone. Mais ce sont des connaissances dont disposent les étudiants en informatique dès le niveau bachelor, explique Razavi. Avec l'énergie criminelle correspondante, il serait même possible de proposer un programme pour smartphone et un service en ligne permettant de fournir des données de localisation falsifiées, mais paraissant plausibles, à des personnes désireuses de frauder et n'ayant aucune connaissance en informatique.

"C'est tout à fait fondamental : les données de localisation d'un smartphone peuvent être manipulées et on ne peut pas leur faire confiance", explique Michele Marazzi, doctorant dans le groupe de Razavi. "Les développeurs d'applications ne devraient donc pas les traiter comme des données fiables. Si les données de localisation sont utilisées, comme dans l'app des CFF, pour calculer et facturer une prestation, cela doit être mieux pris en compte.

Comparaison avec des données fiables

Pour résoudre ce problème, les chercheurs proposent deux approches : Soit les données de localisation doivent être vérifiées à l'aide de messages de localisation fiables, soit la localisation des smartphones doit être fondamentalement modifiée afin de rendre toute manipulation beaucoup plus difficile. Dans la première approche, il serait par exemple possible de comparer les informations transmises par le smartphone d'un utilisateur avec des données de localisation auxquelles une entreprise de transport fait confiance, par exemple celles du véhicule ou de l'appareil mobile d'un contr?leur.

La deuxième approche est plus difficile. Il faudrait réunir les développeurs de matériel et de systèmes d'exploitation pour smartphones autour d'une table et les convaincre de mettre au point une nouvelle technologie de localisation inviolable. "En attendant, tous ceux qui doivent se fier aux informations de localisation des smartphones n'ont pas d'autre choix que de les vérifier autant que possible avec une source de données de localisation fiable", explique le professeur Razavi de l'ETH.

Les chercheurs de l'ETH ont informé les CFF du point faible de la fonction Easyride et ont été en contact avec leurs spécialistes au cours de l'année dernière. Ils leur ont également présenté les solutions permettant d'améliorer la sécurité de cette fonction.

Les CFF tiennent à préciser qu'il est punissable d'utiliser la fonction Easyride avec des données de localisation manipulées. Selon leurs propres indications, les CFF ont amélioré la vérification des données de localisation transmises au serveur suite aux remarques de l'équipe de chercheurs de l'ETH. Selon les CFF, les manipulations sont aujourd'hui détectées a posteriori et font l'objet d'une plainte. Pour des raisons de sécurité, les CFF ne dévoilent pas les modalités exactes de cette vérification.