Language
Des adolescents ont piraté la CharlieCard du métro de Boston pour obtenir des trajets gratuits à l'infini – et cette fois, personne n'a été poursuivi en justice
MaisonMaison > Blog > Des adolescents ont piraté la CharlieCard du métro de Boston pour obtenir des trajets gratuits à l'infini – et cette fois, personne n'a été poursuivi en justice
DERNIÈRES NOUVELLES

Des adolescents ont piraté la CharlieCard du métro de Boston pour obtenir des trajets gratuits à l'infini – et cette fois, personne n'a été poursuivi en justice

Jul 31, 2023

Andy Greenberg

Début août 2008, il y a presque exactement 15 ans, la conférence des hackers Defcon à Las Vegas a été frappée par l'un des pires scandales de son histoire. Juste avant qu'un groupe d'étudiants du MIT envisage de donner une conférence à la conférence sur une méthode qu'ils avaient trouvée pour obtenir des trajets gratuits dans le métro de Boston – connue sous le nom de Massachusetts Bay Transit Authority – la MBTA les a poursuivis en justice et a obtenu une ordonnance d'interdiction pour empêcher les empêche de parler. La conférence a été annulée, mais pas avant que les diapositives des pirates informatiques aient été largement distribuées aux participants à la conférence et publiées en ligne.

À l'été 2021, Matty Harris et Zachary Bertocchi, 15 ans, prenaient le métro de Boston lorsque Harris a parlé à Bertocchi d'un article Wikipédia qu'il avait lu et qui mentionnait ce moment de l'histoire des hackers. Les deux adolescents, tous deux étudiants au Medford Vocational Technical High School de Boston, ont commencé à se demander s'ils pourraient reproduire le travail des hackers du MIT, et peut-être même bénéficier de trajets gratuits en métro.

Ils pensaient que cela devait être impossible. "Nous avons supposé que, parce que c'était plus d'une décennie plus tôt et que cela avait fait l'objet d'une forte publicité, ils auraient réparé le problème", explique Harris.

Bertocchi va directement à la fin de l'histoire : « Ils ne l'ont pas fait ».

Angela Coupe-Eau

Julien Chokkattu

Lexi Pandell

Will Chevalier

Aujourd'hui, après deux ans de travail, ces deux adolescents et deux amis hackers, Noah Gibson et Scott Campbell, ont présenté les résultats de leurs recherches à la conférence Defcon hacker à Las Vegas. En fait, ils ont non seulement reproduit les astuces des pirates du MIT de 2008, mais les ont même poussés encore plus loin. L'équipe de 2008 avait piraté les cartes papier à bande magnétique Charle Ticket de Boston pour les copier, modifier leur valeur et obtenir des trajets gratuits, mais ces cartes ont été mises hors service en 2021. Les quatre adolescents ont donc étendu d'autres recherches effectuées par l'équipe de hackers de 2008 pour inverser complètement concevoir la CharlieCard, la carte à puce RFID sans contact que MBTA utilise aujourd'hui. Les pirates peuvent désormais ajouter n'importe quelle somme d'argent à l'une de ces cartes ou la désigner de manière invisible comme une carte d'étudiant à prix réduit, une carte senior ou même une carte d'employé MBTA offrant des trajets gratuits et illimités. "Vous l'appelez, nous pouvons y arriver", déclare Campbell.

Pour démontrer leur travail, les adolescents sont allés jusqu'à créer leur propre « distributeur automatique » portable – un petit appareil de bureau doté d'un écran tactile et d'un capteur de carte RFID – qui peut ajouter la valeur de leur choix à une CharlieCard ou modifier ses paramètres, et ils ont intégré la même fonctionnalité dans une application Android qui peut ajouter du crédit d'un simple toucher. Ils démontrent les deux astuces dans la vidéo ci-dessous :

Contrairement à l'explosion du piratage du métro de Defcon en 2008 – et signe du chemin parcouru par les entreprises et les agences gouvernementales dans leurs relations avec la communauté de la cybersécurité – les quatre pirates affirment que la MBTA n'a pas menacé de les poursuivre en justice ni d'essayer de les bloquer. leur discours Defcon. Au lieu de cela, il les a invités au siège de l'autorité de transport plus tôt cette année pour faire une présentation sur les vulnérabilités qu'ils avaient trouvées. Ensuite, le MBTA leur a poliment demandé de masquer une partie de leur technique afin de rendre plus difficile la réplication par d'autres pirates.

Les pirates affirment que le MBTA n'a pas réellement corrigé les vulnérabilités qu'ils ont découvertes et semble plutôt attendre un tout nouveau système de carte de métro qu'il prévoit de déployer en 2025. Lorsque WIRED a contacté le MBTA, son directeur des communications, Joe Pesaturo, a répondu dans un communiqué que « le MBTA était heureux que les étudiants aient contacté et travaillé en collaboration avec l'équipe de perception des tarifs ».

"Il convient de noter que la vulnérabilité identifiée par les étudiants ne présente PAS de risque imminent affectant la sécurité, de perturbation du système ou de violation de données", a ajouté Pesaturo. « L'équipe de détection des fraudes de MBTA a renforcé sa surveillance pour tenir compte de cette vulnérabilité [et] ne prévoit aucun impact financier significatif pour MBTA. Cette vulnérabilité n'existera plus une fois le nouveau système de perception des tarifs mis en service, car il s'agira d'un système basé sur un compte par rapport au système actuel basé sur une carte.