Comment une faille dans l'app des CFF offrait des voyages à l'œil
Une équipe de l'EPFZ a démontré comment simuler des déplacements pour tromper la fonctionnalité EasyRide de l'app des CFF. Une recherche qui soulève des questions sur la fiabilité des données GPS. Les CFF affirment être aujourd'hui capables de détecter les tricheurs.
Fin 2019, les CFF annonçaient l’intégration de la technologie de Fairtiq à leur application mobile pour permettre la facturation automatique en fonction du trajet parcouru. Testée à partir de 2018, cette fonctionnalité nommée EasyRide est bien pratique. Mais peut-elle se retourner contre les CFF? La réponse est affirmative. C’était du moins le cas, en théorie, puisque des chercheurs de l’EPFZ ont montré comment exploiter une faille dans ce système pour voyager gratuitement. Notons d’emblée que les chercheurs ont averti l'entreprise ferroviaire, qui assure être désormais en mesure de détecter les éventuels tricheurs.
Pour rappel, la fonctionnalité EasyRide enregistre les déplacements des utilisateurs à partir de leur localisation GPS, et les tarifs sont calculés en fonction des trajets effectués. Dans un communiqué, l'EPFZ explique que l’équipe dirigée par Kaveh Razavi, professeur de sécurité informatique, a réussi à manipuler les données GPS utilisées par l'application. Ils ont développé une technique pour simuler un déplacement restreint en ville, alors qu’en réalité, l'utilisateur se déplaçait en train.
Des stratagèmes à la portée d’étudiants en informatique
Dans un billet de blog plus technique, les chercheurs expliquent qu’un type d'attaque, nommé «FreeRide Remote», repose sur une manipulation avancée des données de localisation. Le processus est le suivant: une application requiert des données de localisation signées, mais un utilisateur malveillant redirige cette requête vers un serveur exécutant l'application CFF. Ce dernier signe alors la valeur GPS et la renvoie au téléphone de l'utilisateur malveillant, simulant ainsi une localisation authentique. Alternativement, il est également possible de falsifier directement le signal GPS pour contourner les mécanismes d'intégrité, bien que cela représente une attaque techniquement plus complexe.
Ces stratagèmes ont été testés lors de plusieurs voyages, sans être détectés par les contrôleurs. Ni même ultérieurement. Selon Kaveh Razavi, bien que la manipulation des données GPS nécessite des connaissances spécialisées, celles-ci sont assez courantes parmi les étudiants en informatique.
«La vérité fondamentale est que les données de localisation des smartphones peuvent être manipulées et qu'on ne peut pas s'y fier entièrement. Les développeurs d'applications ne devraient donc pas considérer ces données comme fiables. C'est ce que nous voulions mettre en évidence dans notre projet», confie Michele Marazzi, doctorant dans le groupe du Pr Razavi.
Les chercheurs expliquent comment contrer la faille
Pour remédier à cette vulnérabilité, les chercheurs ont imaginé deux solutions. La première serait de vérifier les données de localisation du smartphone en les comparant avec des données fiables, comme celles émises par les véhicules ou par des appareils portés par les contrôleurs. La seconde solution impliquerait de convaincre les développeurs de matériel et de systèmes d'exploitation de smartphones d'implémenter une technologie de localisation sécurisée. «En attendant, tous les services qui sont obligés de s'appuyer sur les informations de localisation fournies par les smartphones n'ont d'autre choix que de vérifier ces données du mieux qu'ils peuvent en utilisant une source fiable de données de localisation», explique le Pr Razavi.
