Frauder dans les transports ? Trop risqué. Quatre adolescents ont préféré pirater le métro de leur ville pour obtenir des trajets gratuits à l’infini. Ceux-ci on partagé leurs travaux lors de la conférence de hack Defcon et c’est pour le moins impressionnant.
À Las Vegas, c’est la grande période des conférences de hack. La semaine dernière lors de la conférence Black Hat, des hackers révélaient avoir réussi à pirater les voitures Tesla, donnant un accès complet à toutes les fonctionnalités. Comme chaque année lui succède la conférence Defcon, où quatre adolescents ont révélé avoir réussi à hacker le réseau de transport de la Massachusetts Bay Transit Authority (MBTA), qui comprend notamment le métro de Boston.
Il leur aura fallu deux ans de travail pour obtenir des trajets gratuits à l’infini en métro, en bus et en tram dans la ville. Tous âgés de 16 et 17 ans, les quatre pirates ont présenté leurs recherches devant un parterre de hackers chevronnés et de spécialistes de la cybersécurité. Ils expliquent avoir procédé à une rétro-ingénierie complète de la carte à puce RFID sans contact utilisée par le réseau de transport.
Plus besoin de Navigo pour prendre le métro avec ce hack
À partir de là, les pirates prennent le contrôle complet de la carte. Ils peuvent y ajouter n’importe quelle somme d’argent, la désigner comme une carte à tarif réduit pour senior ou étudiant et même comme une carte d’employé du MBTA donnant droit à un nombre illimité de trajets gratuits. “Nous pouvons fabriquer n’importe quel type de carte“, explique l’un des hackers.
À lire > Comment pirater facilement les feux rouges ? Des chercheurs néerlandais ont trouvé la solution
Pour illustrer leur travail, les adolescents sont allés jusqu’à créer leur propre distributeur de billet portatif. Ce petit appareil doté d’un écran tactile et d’un capteur de carte RFID peut ajouter la valeur de leur choix à une carte de transport ou en modifier les paramètres. Les hackers ont intégré la même fonctionnalité dans une application Android maison qui permet d’ajouter du crédit d’un simple toucher.
Heureusement, les jeunes hackers l’ont surtout fait par esprit de défi, plutôt que pour obtenir une rançon comme de nombreux pirates le font. Ainsi, ils n’ont pas partagé les éléments les plus sensibles de leurs travaux lors de la présentation, de sorte qu’il faudra fournir un travail colossal pour reproduire leurs résultats.
Comme souvent avec les hackers plus raisonnables, ils ont partagé leurs trouvailles avec l’institution concernée. Auprès de Wired, le réseau de transport affirme par la voix de son directeur de la communication que “la vulnérabilité identifiée par les étudiants ne constitue pas un risque imminent pour la sécurité, une interruption du système ou une violation de données.” Ouf.
Source : Wired
