Des fraudeurs ont profité des conclusions d'un chercheur en sécurité pour réinterpréter les billets numériques "non transférables" de Ticketmaster et AXS de manière à ce qu'ils puissent être partagés en dehors de leurs applications. Ce détournement a été révélé par une plainte déposée en mai par AXS contre des fournisseurs tiers qui ont recours à cette pratique, selon 404 Media, qui a été le premier à rapporter la nouvelle.
L'histoire a commencé en février, lorsqu'un chercheur en sécurité anonyme a publié, sous le pseudonyme de Conduition, des détails techniques sur la manière dont Ticketmaster génère ses billets électroniques. Si vous n'êtes pas encore familiarisé avec le fonctionnement des systèmes modernes de billetterie électronique : Ticketmaster et AXS bloquent la vente de billets au sein de leurs plates-formes, empêchant ainsi la transmission à des fournisseurs tiers tels que SeatGeek et StubHub. (Pour les événements plus prioritaires, ils vont souvent encore plus loin en interdisant le transfert vers d'autres comptes sur la même plateforme).
Bien que les entreprises affirment qu'il s'agit d'une simple mesure de sécurité, elles peuvent également contrôler de cette manière comment et quand leurs billets sont revendus. (Youpi, le capitalisme ?)
Ticketmaster et AXS fabriquent leurs billets "non transférables" avec des codes-barres rotatifs qui changent toutes les quelques secondes, empêchant ainsi les captures d'écran ou les impressions de fonctionner. Au verso, une technologie similaire à l'authentification à deux facteurs est utilisée. De plus, les codes ne sont générés que peu de temps avant le début de l'événement, ce qui limite la fenêtre de temps pour le partage en dehors des applications. Sans ingérence extérieure, les plateformes peuvent lier les acheteurs de billets à leurs propres services de revente, ce qui leur permet d'exercer un contrôle vertical sur l'ensemble de l'écosystème.
C'est là que les hackers entrent en jeu. En se basant sur les résultats publiés par Conduition, ils ont extrait les jetons secrets des plateformes qui génèrent de nouveaux billets en connectant un téléphone Android avec son navigateur Chrome aux DevTools de Chrome sur un ordinateur de bureau. Grâce à ces jetons, ils ont créé une infrastructure de billetterie parallèle qui génère de vrais codes-barres sur d'autres plates-formes et leur permet de vendre des billets fonctionnels sur des plates-formes qui n'acceptent pas Ticketmaster et AXS. Selon des rapports en ligne, les billets parallèles fonctionnent souvent aux portes d'embarquement.
Selon 404 Media, le procès intenté par AXS accuse les défendeurs de vendre des billets "contrefaits" (même s'ils fonctionnent normalement) à des "clients qui ne se doutent de rien". Les documents du tribunal affirment que les billets parallèles "ont été créés, en tout ou en partie, par un ou plusieurs des défendeurs qui ont obtenu un accès non autorisé à la plate-forme d'AXS et l'ont ensuite imitée, émulée ou copiée".
La plainte d'AXS affirme que l'entreprise ne sait pas comment les pirates ont procédé. La promesse de craquer Ticketmaster est si lucrative que plusieurs intermédiaires auraient tenté de faire appel à Conduition pour les aider à créer leurs propres plateformes parallèles de génération de billets. Les services qui se basent déjà sur les découvertes des chercheurs portent des noms tels que Secure.Tickets, Amosa App, Virtual Barcode Distribution et Verified-Ticket.com.
Le rapport complet de 404 Media mérite d'être lu. Les personnes intéressées par la technique pourraient s'intéresser aux résultats précédents de Conduition, qui montrent ce que les géants de la billetterie font en coulisses pour garder l'ensemble de l'écosystème entre leurs griffes.
