Notre petite revue, gratuite et indépendante, fait du bruit grâce à vous ! Soutenez-nous, car même les petites étincelles peuvent allumer de grandes idées🚀 Soutenir!

Ticketmaster Trompe ses Utilisateurs : Les Codes-Barres Rotatifs Compromis par les escrocs

La Rédaction

 

#Billet #Hacking #ReverseEngineering #CodeBarres #RotatingBarcodes


Récemment, lors d'une mission chez un client, j'ai développé un programme de génération de codes-barres en from scratch. Après avoir testé plusieurs bibliothèques telles que #ZXING, #JsBarCode ou #Code4J, ... j'ai remarqué l'usage réciproque de ces librairies pour une génération de code au format qu'on souhaite que ça soit code39 ou PDF417, ... Quand j'ai voulu me renseigner un peu sur ce qui se fait dans le marché chez les concurrents et les vendeurs, je suis tombé sur un article scientifique révélant une faille de sécurité majeure concernant les billets de Ticketmaster. Et semblerait que cette découverte a eu l'effet d'un coup de tonnerre !


Pour faire court : Ticketmaster commercialise sa technologie SafeTix comme une solution miracle contre la fraude et les revendeurs :

 "Notre technologie de billetterie sécurisée réduit le risque de fraude, éliminant ainsi les possibilités de vol ou de contrefaçon. Une fois que vous avez acheté vos billets mobiles sur Ticketmaster, vous pouvez toujours être sûr d'obtenir les places pour lesquelles vous avez payé."


Cependant, cette technologie n'est apparemment pas aussi infaillible qu'ils le prétendent. l'explications 


La Controverse

Cette faille a été mise en lumière par un procès en Californie intenté par AXS, un autre géant de la billetterie, révélant une bataille juridique et technologique avec Ticketmaster. Les revendeurs ont découvert comment extraire des billets « intransférables » de leurs comptes en générant des codes-barres d'entrée sur une infrastructure parallèle contrôlée par eux, puis en les vendant et les transférant aux clients.


Comment les ingénieurs ont soupçonné la plateforme et ont contrefait les tickets?

Tout commence par cette contradiction! 

Comment des billets peuvent-ils être enregistrés hors ligne s'ils ne peuvent pas être transférés en dehors de Ticketmaster ? 


D'après le fonctionnement de TicketMaster: Un billet numérique peut être sauvegardé, copié, transmis, partagé et vendu. Cela révèle une contradiction dans le marketing de Ticketmaster. Ils ne peuvent pas garantir une protection DRM robuste si les billets peuvent toujours être consultés hors ligne.
Car s'ils sont rotatifs, comment cela peut-il être possible, alors que les tokens sont temporaires (ce qui permet d'identifier l'utilisateurs) .


La Réalité divulguée à travers cette Rétro-Ingénierie

En rétro-ingéniant la manière dont Ticketmaster et AXS fabriquent leurs billets électroniques, les revendeurs ont compris comment régénérer des billets spécifiques qu'ils ont légalement achetés, et ce, sur une infrastructure qu'ils contrôlent. Cela leur permet de contourner les restrictions anti-scalping imposées par Ticketmaster et AXS.

Voici une démonstration ingénieuse d'un développeur : à lire son article

Pour en résumer son travail: 

Ticketmaster utilise des codes-barres qui changent toutes les 15 secondes. Le contenu de base64 reste fixe, mais les chiffres à six chiffres et l'horodatage changent, comme les codes TOTP (codes de mot de passe à usage unique basés sur le temps) utilisés en authentification à deux facteurs (2FA).

Les chiffres à six chiffres sont probablement des TOTP générés à partir de secrets partagés et de l'horodatage Unix (un moyen de suivre le temps en secondes depuis le 1er janvier 1970).

Les données base64, une fois décodées, semblent aléatoires et servent probablement de jeton pour identifier le billet. Lors du scan, Ticketmaster vérifie ce jeton et les TOTP contre des secrets stockés dans sa base de données. Si tout est correct, le billet est validé.

Ticketmaster génère des codes-barres dynamiques qui changent toutes les 15 secondes. Ces codes sont basés sur des TOTP (codes de mot de passe à usage unique) utilisant des secrets partagés et un horodatage Unix.

Fonctionnement simplifié :

Données du code-barres :

b : Propriété identique au code-barres du billet.
rt : Type de rendu du billet.
t : Données codées en base64.
ck et ek : Secrets partagés en hexadécimal (20 octets chacun).

Génération du code-barres :

ck (customerKey) et ek (eventKey) sont utilisés pour créer les TOTP.
L'horodatage Unix est ajouté pour synchronisation.
Ces éléments génèrent des codes à six chiffres qui changent toutes les 15 secondes.
Validation du billet :

Lors du scan, Ticketmaster vérifie le jeton statique (t), les TOTP (ck et ek), et l'horodatage.
Si tout est correct, le billet est validé.

Processus de duplication :
Pour dupliquer un billet, il suffit d'extraire le jeton base64, l'eventKey, et le customerKey.
Utilisez ces éléments pour générer des TOTP valides et créer des codes-barres acceptés par les systèmes de Ticketmaster....

En comprenant le secret de TicketMaster qui semble pas réellement si secret que ça 😝 le développeur a pu coder une applications similaire pour reproduire les tickets


Conclusion

Cette situation soulève des questions importantes sur la sécurité des technologies de billetterie numériques et met en lumière les défis auxquels sont confrontées les entreprises pour protéger leurs systèmes contre les tentatives de fraude sophistiquées. L'évolution de ces technologies et des méthodes de protection sera cruciale pour l'avenir de la billetterie numérique.

par Aghilas AZZOUG

Getting Info...

Enregistrer un commentaire

Consentement Cookie
Nous utilisons des cookies 🍪 sur ce site pour analyser le trafic, mémoriser vos préférences et optimiser votre expérience.
Oops!
It seems there is something wrong with your internet connection. Please connect to the internet and start browsing again.
AdBlock Detected!
Salut super-héros de la navigation ! 🚀 On a détecté ton super-pouvoir anti-pubs, mais notre site a besoin de tes super-pouvoirs pour briller. 🌟 Peux-tu le mettre sur la liste blanche de ton plugin ? Ensemble, on sauve l'internet ! 🌐💥 Merci, héros ! 🙌 #TeamAwesome
Site is Blocked
Oops ! Désolé ! Ce site n'est pas disponible dans votre pays. 🌍😔
-->