Comment les scalpers parviennent-ils à contourner les systèmes de billetterie numériques non transférables de Ticketmaster et AXS ? Un chercheur en sécurité a récemment dévoilé les détails techniques qui permettent ce tour de force, mettant en lumière les faiblesses de ces plateformes. Plus surprenant encore, ce sont ces mêmes failles que les scalpers exploitent pour leur propre bénéfice.
Tout a commencé en février avec un chercheur en sécurité anonyme, Conduition, qui a publié les détails techniques sur la manière dont Ticketmaster génère ses billets électroniques. Pour ceux qui ne le savent pas, Ticketmaster et AXS verrouillent la revente de billets à l’intérieur de leurs plateformes, empêchant ainsi les transferts via des services tiers comme SeatGeek et StubHub. Mais est-ce vraiment pour des raisons de sécurité uniquement, ou est-ce aussi un moyen de contrôler le marché de la revente de billets ?
Les billets « non transférables » de Ticketmaster et AXS utilisent des codes-barres rotatifs qui changent toutes les quelques secondes, rendant les captures d’écran et impressions inutilisables. Cette technologie, similaire à celle des applications d’authentification à deux facteurs, empêche le partage de billets hors de leurs applications. Cependant, les chercheurs en sécurité, inspirés par les découvertes de Conduition, ont découvert un moyen de contourner ce système.
Les scalpers exploitent les failles techniques pour vendre des billets contrefaits mais fonctionnels.
En utilisant les révélations de Conduition, des hackers ont pu extraire les jetons secrets des plateformes pour générer de nouveaux billets. Ces jetons leur permettent de créer une infrastructure de billetterie parallèle et de vendre des billets sur des plateformes que Ticketmaster et AXS interdisent. Bien que décriés, ces billets fonctionnent généralement aux portillons lors des événements.
En mai, AXS a engagé des poursuites judiciaires contre certains de ces brokers tiers, les accusant de vendre des billets « contrefaits ». AXS soutient dans ses documents judiciaires que ces billets parallèles sont créés en accédant illicitement à leur plateforme et en imitant ou copiant les billets originaux. Pourtant, l’existence de cette vente parallèle montre une faille béante dans la manière dont ces plateformes fonctionnent.
AXS affirme ne pas savoir comment ces hackers parviennent à leurs fins. La perspective de pouvoir « jailbreaker » Ticketmaster est si alléchante que plusieurs brokers auraient tenté de recruter Conduition pour les aider à développer leurs propres plateformes de génération de billets. Des services comme Secure.Tickets, Amosa App et Virtual Barcode Distribution opéreraient déjà grâce à ces découvertes.
Pour en savoir plus, l’article original de 404 Media est disponible ici. Les passionnés de technologie pourraient aussi trouver un certain intérêt dans les premières découvertes de Conduition, qui offrent un aperçu de ce que les géants de la billetterie font en coulisses pour préserver leur contrôle total.
Source : Engadget