#Billet #Hacking #ReverseEngineering #CodeBarres #RotatingBarcodes
Récemment, lors d'une mission chez un client, j'ai développé un programme de génération de codes-barres en from scratch. Après avoir testé plusieurs bibliothèques telles que #ZXING, #JsBarCode ou #Code4J, ... j'ai remarqué l'usage réciproque de ces librairies pour une génération de code au format qu'on souhaite que ça soit code39 ou PDF417, ... Quand j'ai voulu me renseigner un peu sur ce qui se fait dans le marché chez les concurrents et les vendeurs, je suis tombé sur un article scientifique révélant une faille de sécurité majeure concernant les billets de Ticketmaster. Et semblerait que cette découverte a eu l'effet d'un coup de tonnerre !
Pour faire court : Ticketmaster commercialise sa technologie SafeTix comme une solution miracle contre la fraude et les revendeurs :
"Notre technologie de billetterie sécurisée réduit le risque de fraude, éliminant ainsi les possibilités de vol ou de contrefaçon. Une fois que vous avez acheté vos billets mobiles sur Ticketmaster, vous pouvez toujours être sûr d'obtenir les places pour lesquelles vous avez payé."
Cependant, cette technologie n'est apparemment pas aussi infaillible qu'ils le prétendent. l'explications
La Controverse
Cette faille a été mise en lumière par un procès en Californie intenté par AXS, un autre géant de la billetterie, révélant une bataille juridique et technologique avec Ticketmaster. Les revendeurs ont découvert comment extraire des billets « intransférables » de leurs comptes en générant des codes-barres d'entrée sur une infrastructure parallèle contrôlée par eux, puis en les vendant et les transférant aux clients.
Comment les ingénieurs ont soupçonné la plateforme et ont contrefait les tickets?
Tout commence par cette contradiction!
Comment des billets peuvent-ils être enregistrés hors ligne s'ils ne peuvent pas être transférés en dehors de Ticketmaster ?
D'après le fonctionnement de TicketMaster: Un billet numérique peut être sauvegardé, copié, transmis, partagé et vendu. Cela révèle une contradiction dans le marketing de Ticketmaster. Ils ne peuvent pas garantir une protection DRM robuste si les billets peuvent toujours être consultés hors ligne.
Car s'ils sont rotatifs, comment cela peut-il être possible, alors que les tokens sont temporaires (ce qui permet d'identifier l'utilisateurs) .
La Réalité divulguée à travers cette Rétro-Ingénierie
En rétro-ingéniant la manière dont Ticketmaster et AXS fabriquent leurs billets électroniques, les revendeurs ont compris comment régénérer des billets spécifiques qu'ils ont légalement achetés, et ce, sur une infrastructure qu'ils contrôlent. Cela leur permet de contourner les restrictions anti-scalping imposées par Ticketmaster et AXS.
Voici une démonstration ingénieuse d'un développeur : à lire son article
Pour en résumer son travail:
Fonctionnement simplifié :
En comprenant le secret de TicketMaster qui semble pas réellement si secret que ça 😝 le développeur a pu coder une applications similaire pour reproduire les tickets
Conclusion
Cette situation soulève des questions importantes sur la sécurité des technologies de billetterie numériques et met en lumière les défis auxquels sont confrontées les entreprises pour protéger leurs systèmes contre les tentatives de fraude sophistiquées. L'évolution de ces technologies et des méthodes de protection sera cruciale pour l'avenir de la billetterie numérique.
par Aghilas AZZOUG