Si vous êtes un adepte du train ou un pendulaire occasionnel, vous connaissez sûrement la fonction Easyride de l'application CFF. Elle vous permet de voyager en train, en bus et en tram sans prise de tête: pas besoin d'acheter un billet classique pour valider votre trajet. Vous n'avez qu'à balayer votre écran dès le début de votre itinéraire. Arrivé à destination, il vous suffira de glisser à nouveau votre doigt sur l'écran pour terminer votre trajet.
Lors de l'activation de cette fonction, un code QR apparait sur votre téléphone: ce dernier vous servira de titre de transport provisoire. Il permet au contrôleur de voir que la fonction Easyride est activée. Pendant le trajet, l'application envoie en permanence des données de localisation à un serveur des CFF. Ce dernier pourra donc calculer la distance parcourue grâce au suivi de votre téléphone. Les CFF vous facturent ensuite le coût du trajet final.
Easyride est en service dans toute la Suisse depuis 2018. Mais l'année dernière, sa réputation a été mise à mal. Des chercheurs de l'École polytechnique fédérale de Zurich (EPFZ) ont réussi à déjouer le système de géolocalisation. Rappelez-vous: Easyride s'appuie sur vos données de localisation. Mais celles-ci sont facilement manipulables pour les connaisseurs. Mais d'après les CFF, les petits malins ne pourront plus profiter de cette fraude: elle serait aujourd'hui détectée par les contrôles.
Les CFF n'ont pas remarqué la fraude lors des contrôles
Il y a un an, les choses étaient différentes. Des chercheurs et des étudiants du groupe de Kaveh Razavi, professeur de sécurité informatique à l'EPFZ, ont supposé que la fonction Easyride pouvait être manipulée et l'ont mise à l'épreuve. Ils ont modifié les smartphones de manière à ce que leurs données de localisation GPS – auxquelles l'application CFF a accès – soient remplacées par des informations de localisation falsifiées, mais réalistes. Ces données faisaient croire que l'utilisateur se déplaçait exclusivement dans un espace restreint, sans utiliser les transports publics.
Les chercheurs ont utilisé deux méthodes. Dans le premier cas, un programme a généré les fausses données de localisation directement sur le smartphone. Dans l'autre, le smartphone était connecté à un serveur sur lequel fonctionnait l'application CFF. Le serveur en question générait des données de localisation falsifiées et transmettait le code QR Easyride au smartphone.
Les chercheurs de l'EPFZ ont testé le smartphone qu'ils avaient préparé lors de plusieurs trajets en train de Zurich à la capitale d'un canton voisin. La fraude n'a pas été remarquée lors des contrôles de billets dans le train et les CFF n'ont pas contacté les tricheurs après coup.
Des connaissances de niveau bachelor sont nécessaires
Au lieu de cela, les CFF ont calculé les coûts des faux mouvements à petite échelle pour lesquels aucun moyen de transport public n'a été utilisé. Les chercheurs ont donc réussi à voyager gratuitement avec Easyride. Ils soulignent que lors de tous les tests, ils possédaient toujours un billet valable sur eux. Mais pour le bien de l'expérience, c'est le code QR Easyride qu'ils montraient au contrôleur.
Quelques connaissances techniques sont toutefois nécessaires pour arriver à voyager en passant entre les gouttes. Mais la plupart des étudiants en informatique en disposent dès le niveau bachelor, explique le Prof. Razavi. Si l'on pense plus loin (et plus illégalement), il serait même possible de proposer un service en ligne permettant de créer des données de localisation falsifiées à des tiers sans connaissances en informatique à des fins de fraude, par exemple.
Les données de localisation peuvent être manipulées
«C'est tout à fait fondamental: les données de localisation d'un smartphone sont manipulables et on ne peut pas leur faire confiance», explique Michele Marazzi, doctorant dans le groupe des chercheurs. «Les développeurs d'applications ne devraient donc pas les traiter comme des données fiables. C'est ce sur quoi nous voulions attirer l'attention avec notre travail.» Selon l'experte, si les données de localisation sont utilisées, comme dans l'app des CFF, pour calculer et facturer une prestation, une attention particulière est nécessaire.
Pour résoudre le problème, les chercheurs proposent deux solutions: soit les données de localisation doivent être vérifiées à l'aide de messages de localisation fiables, soit la localisation du smartphone doit être fondamentalement modifiée afin de rendre une manipulation beaucoup plus difficile. Dans la première proposition, il serait par exemple possible de comparer les informations transmises par le smartphone d'un utilisateur avec des données de localisation auxquelles une entreprise de transport fait confiance, par exemple celles du véhicule ou de l'appareil mobile d'un contrôleur.
La deuxième idée est plus difficile à mettre en œuvre. Il faudrait réunir les développeurs de matériel et de systèmes d'exploitation pour smartphones autour d'une table et les convaincre de mettre au point une nouvelle technologie de localisation inviolable. «D'ici là, tous ceux qui doivent se fier aux informations de localisation des smartphones n'ont pas d'autre choix que de les vérifier autant que possible avec une source de données de localisation fiable», explique le Prof. Razavi.
Les CFF dénoncent ces manipulations
Les chercheurs de l'EPFZ ont informé les CFF des failles de la fonction Easyride et ont collaboré avec leurs spécialistes tout au long de l'année dernière. Ils leur ont également présenté des solutions permettant de renforcer la sécurité de cette fonction.
Les CFF tiennent à préciser qu'il est punissable d'utiliser la fonction Easyride avec des données de localisation manipulées. Selon leurs propres indications, les CFF ont amélioré la vérification des données de localisation transmises au serveur suite aux remarques de l'équipe de chercheurs de l'EPFZ. De telles manipulations seraient aujourd'hui détectées a posteriori et feront l'objet d'une plainte. Pour des raisons de sécurité, les modalités exactes de cette vérification n'ont pas été communiquées.