TL;DR
- Des scalpers ont exploité les recherches d’un chercheur en sécurité pour contourner la non-transférabilité des billets numériques de Ticketmaster et AXS.
- Les informations ont été révélées lors d’un procès intenté par AXS contre des courtiers tiers adoptant cette pratique.
- En utilisant ces résultats, elles ont créé une infrastructure parallèle de billetterie qui régénère des codes-barres authentiques sur d’autres plateformes.
Exploitation des failles de sécurité
Les scalpers, ces opportunistes de la revente de billets, ont trouvé une nouvelle manœuvre pour contourner le système. Impliquant Ticketmaster et AXS, deux géants de la billetterie numérique, ils ont su exploiter les recherches d’un chercheur en sécurité pour détourner le caractère « non transférable » de leurs billets.
La source de l’exploit
En février dernier, un chercheur en sécurité anonyme, connu sous le pseudonyme de Conduition, a publié des détails techniques sur le fonctionnement du système de billetterie de Ticketmaster. Ticketmaster et AXS créent en effet leurs billets « non transférables » en utilisant des codes-barres rotatifs qui changent toutes les secondes. Ce système empêche que des captures d’écran ou des impressions fonctionnelles puissent être faites. Si ces entreprises prétendent que cette pratique est d’abord un moyen de maintenir un niveau de sécurité élevé, elle leur permet surtout de contrôler la revente de leurs billets.
La faille exploitée
Là entrent en scène les hackeurs : en utilisant les découvertes publiées par Conduition, ils ont réussi à extraire les « jetons » secrets qui génèrent de nouveaux billets à partir d’un téléphone Android connecté à Chrome DevTools sur un PC. Ces jetons leur permettent de « créer une infrastructure de billetterie parallèle qui régénère de véritables codes barres ». Pour simplifier, les scalpers ont réussi à créer des billets valides sur des plateformes sur lesquelles Ticketmaster et AXS refusent d’être présents.
Conséquences pour les consommateurs
« AxS a intenté un procès aux défendeurs, les accusant de vendre des billets ‘contrefaits’ à des clients ‘sans méfiance’« , rapporte 404 Media. À noter que ces billets « contrefaits » sont généralement valides et fonctionnent réellement lors de l’entrée aux évènements. Cela suggère que les consommateurs ignorent largement l’originalité déviante de ces billets, achetant sans le savoir sur cette infrastructure parallèle.
« Plusieurs courtiers ont tenté d’engager Conduition pour les aider à construire leur propre plateforme parallèle de génération de billets. » Des services fonctionnant déjà selon les recherches de Conduition existent et portent des noms comme Secure.Tickets, Virtual Barcode Distribution et Verified-Ticket.com. Le monde de la billetterie numérique est ainsi dévoilé, soulevant des questions sur la sécurité en ligne, le piratage et le contrôle monopolistique des ventes de billets.
