Ne publiez jamais de code-barres de billets en ligne !

26 Août 2016

Les experts en sécurité et les grands médias mettent en garde les utilisateurs sur le fait de poster des photos de leurs billets en ligne. Beaucoup de personnes suivent ces conseils, mais pas toutes. Maintes et maintes fois, encore et encore, on voit des photos de billets sur les réseaux sociaux, plus particulièrement sur Instagram. Il vous suffit de taper le hashtag #tickets et vous verrez.

Pourquoi est-ce une si mauvaise idée ?

Le problème avec ce genre de post est que les internautes publient des billets d’événements qui se produiront ultérieurement et oublient de flouter ou cacher le code-barres qui figurent dessus. Les hackers peuvent copier les informations provenant de ces photos et les utiliser pour reproduire les billets. Ensuite, ils les revendent, ou vont à l’évènement à la place des victimes.

ticket-featured

Cela s’applique également aux billets d’avion : les voyous ne peuvent pas prendre votre place, en revanche ils peuvent littéralement ruiner votre voyage, en réservant la pire place ou même annuler vos billets du retour. Toutes les informations nécessaires pour établir ce stratagème, sont imprimées sur vos billets d’avion. Ne les publiez donc pas en ligne. Point.

C’est aussi sérieux que ça en a l’air ?

Vous vous souvenez de cette australienne nommée Chantelle, qui avait gagné 825$ à la course hippique Melbourne Cup ? Elle avait posté un selfie avec son ticket et avait perdu tout l’argent de son prix.

Presque tous les grands événements attirent l’attention des cybercriminels. L’année dernière, des citoyens britanniques avaient perdu 5,2 millions de £ dans une fraude au billet et la situation n’avait pas changé pour autant. Les grands événements sportifs tels que la Coupe du monde de rugby 2016 se trouvent en haut de la liste de telles arnaques, suivis des concerts et festivals.

Les services de billetterie disposent généralement de règles qui spécifient que chaque client ne doit pas fournir les données de son billet à un tiers. Publier une photo de votre billet en ligne équivaut à partager vos données avec n’importe qui voyant l’image. Donc si vous le faites, ne vous en prenez pas à la billetterie, ils n’y sont pour rien si vous n’avez pas tenu compte de leurs règles et donné vos billets à des inconnus.

Publier des billets en ligne est aussi un excellent moyen d’alerter des cambrioleurs sur la date et l’heure où vous serez absent de chez vous.

Pourquoi font-ils des billets individuels nominatifs si on peut facilement les contrefaire ?

Lorsqu’une personne poste ses billets en ligne, cela peut engendrer une série d’évènements instables où quelqu’un d’autre achète un billet frauduleux à des revendeurs. De ce fait, le premier acheteur ou les suivants ne peuvent pas assister à l’évènement, tout simplement parce qu’un autre aura utilisé leurs billets avant eux. Y’a-t-il un moyen de régler ce problème ? Bien sûr, les responsables évènementiels peuvent vérifier votre carte d’identité à l’entrée, un peu comme l’authentification à deux facteurs. Mais dans la réalité, cette approche est loin d’être parfaite.

Tout d’abord, les personnes munies d’un billet peuvent se voir offensées s’il est établi un contrôle d’identité. Deuxièmement, ce n’est pas pratique. Si l’évènement rassemble des centaines de personnes, on peut contrôler les identités sans y passer un temps fou. Si en revanche il réunit 30 000 personnes, c’est quasiment impossible. Imaginez un concert qui ne commence pas parce que les spectateurs auraient fait la queue pendant des heures. Personne ne voudrait manquer le début d’un concert à cause de strictes mesures de sécurité.

De plus, il est clairement dangereux d’avoir son permis de conduire, passeport ou carte d’identité à la vue de tous dans ce genre d’évènement où il y a beaucoup de monde. Les voleurs peuvent s’en emparer dans la foule. D’un autre côté, les responsables évènementiels peuvent proposer des places aux victimes sur place, même si elles ne seront pas aussi bien que celles achetées à l’avance. Cette approche comporte aussi son lot d’inconvénients. Certaines personnes profitent de la situation : elles donnent leurs places à leurs amis pour leur permettre d’entrer gratuitement puis vont voir les responsables évènementiels pour régler le « problème ». C’est la raison pour laquelle les contrôleurs de billets ne croient pas les gens qui les ont déjà utilisés.

Malheureusement, il n’existe pas de remède universel à ce problème, c’est à nous d’inventer un nouveau système d’identification de billets. En attendant, nous devons tous rester vigilants et ne jamais publier de billets et de documents en ligne.

Existe-t-il une autre manière de publier des billets en toute sécurité ?

Oui, il existe un moyen intermédiaire. Si vous souhaitez poster un billet en ligne, vous devez savoir ce qu’il faut cacher. C’est pourquoi vous devez vous familiariser avec les code-barres et leur fonctionnement.

Il existe des code-barres 1D utilisés pour coder de petits éléments d’informations, et des code-barres 2D pour rassembler une grande quantité de données.

Le code-barre 1D est conçu sur le code binaire. Bon en vrai, c’est un peu plus compliqué que ça : chaque chiffre binaire est composé de 7 lignes qui peuvent être soit noires ou blanches. Parfois, les lignes noires ne sont pas séparées par des lignes blanches, ce qui fait que les lignes noires sont plus épaisses. Les dernières barres du code désignent généralement des clés de contrôle, elles sont utilisées pour confirmer la précision de lecture. Les places de ciné, de concert et billets d’avion comportent souvent des clés de contrôle qui confirment les données fournies sur le code-barres.

Un des code-barres 2D les plus répandus est le code QR. Il est utilisé principalement pour ouvrir des sites web rapidement sur les dispositifs mobiles, mais pas toujours. On peut les trouver par exemple sur les billets de train de la IRCTC en Inde. De nombreuses cartes d’embarquement contiennent également un code-barres 2D (pas exactement QR, mais un PDF417). Voici une page intéressante du site Quora qui parle de l’utilisation des code-barres 2D sur les billets.

Les code-barres 2D se composent de carrés blancs et noirs, qui sont, comme vous l’aurez deviné, aussi 1 et 0. Mais les code-barres 2D sont plus compliqués que les 1D, puisqu’en général ils n’ont pas uniquement des clés de contrôle, mais aussi des zones spéciales utilisées pour les caméras afin de reconnaître des code-barres 2D comme des code-barres en tant que tels. Par exemples, les codes QR possèdent trois carrés reconnaissables dans chaque coin.

Si vous voulez publier des billets en ligne, vous devez flouter le code-barres entièrement avec les chiffres du bas. Bien que les contrôleurs de billets utilisent des scanners pour lire les code-barres, les cybercriminels peuvent récupérer le code avec les chiffres du bas.

Pour conclure, on vous déconseille de publier des billets sur Internet avant que l’évènement n’ait eu lieu, et ce même si vous floutez le code. Les hackers, de par leur propre expérience en ingénierie sociale peuvent récupérer les données manquantes. Si vous souhaitez partager votre joie avec d’autres personnes, vous pouvez très bien écrire : « Salut tout le monde ! Je vais au concert de Black Sabbath ! »