Une attention particulière doit être portée sur une faille sécuritaire dans les billets sans contact (BSC) de type « ST25TB ». Cette dernière a été détectée par le laboratoire AMOSSYS et permet aux fraudeurs de les remettre à l’infini dans l’état initial qu’ils avaient lors de leur achat. Le billet est ainsi frauduleusement utilisé à l’infini.
Cette faille, confirmée par le fabricant, a été présentée publiquement lors du Symposium sur la Sécurité des Technologies de l’Information et des Communications (SSTIC) qui s’est tenu le 6 juin 2024 à Rennes.
Aussi, et afin de limiter tous risques de fraudes liés à ce hack, des modifications doivent être envisagées dans la norme « Intertic ». Néanmoins, certaines modifications pourraient n’être réalisables qu’en acceptant des impacts sur les possibilités fonctionnelles des billets. Par exemple, certaines modifications pourraient limiter le nombre d’utilisations possibles du billet.
Par conséquent, les membres de la CN03, notamment son président, Benoît Chauvin – également directeur innovation et transitions au sein du GART – du président du GT4, Éric Burgstahler et du référent du GT4, Laurent Bureau, demandent à l’ensemble des autorités organisatrices de la mobilité (AOM) dont les réseaux utilisent les billets sans contact de type « ST25TB » de se manifester en envoyant un mail à l.bureau@billettiqueservices.com et eric.burgstahler@sncf.fr (en mettant en copie benoit.chauvin@gart.org).
Nous souhaiterions ainsi pouvoir interroger les AOM sur des choix d’acceptabilité fonctionnelle des normes sans pour autant générer d’autres problématiques.
Pour information, le groupe de normalisation CN03/GT4, ayant rédigé le mode d’emploi d’utilisation des billets sans contact (BSC), travaille sur des adaptations de la norme qui permettrait de contrer cette fraude. Néanmoins, il est important que tous les réseaux concernés, en relation avec leurs industriels, prennent des mesures : la migration progressive vers une solution sécurisée telle que Calypso Basic entre autres, la surveillance des réseaux pour déceler toute fraude, etc.