La billetterie dans les réseaux de transport
La plupart des grandes villes nord-américaines proposent un réseau de transport public afin de faciliter et fluidifier les déplacements des citadins ou des touristes en quête des plaisirs urbains aux heures de pointe. Le fait que des milliers de personnes accèdent au service, peut induire une fraude organique et latente. Cette fraude peut intervenir à plusieurs niveaux (ex: sauter au-dessus des barrières d’accès ou fraude de paiement d’un titre de transport légitime…). Dans cet article, nous nous intéresserons spécifiquement à la fraude au système de billetterie, en tentant de démontrer comment augmenter les profits en diminuant la fraude dans ce secteur.
L’équation des systèmes de billetterie
Au-delà des considérations marketing, la principale vocation d’un système de billetterie est d’associer un privilège à une personne selon des critères de limitations. Intrinsèquement, ce concept implémente des mécanismes de sécurité plus ou moins forts pour enrayer l’usurpation de ce privilège.
Un bon investissement en sécurité de l’information est quand l’investissement dans un mécanisme de sécurité est inférieur au préjudice financier théorique qui serait dû à l’absence de ce même mécanisme. Dans le cadre de fraudes sur un système de billetterie, l’exercice est relativement simple à effectuer, car il y a un rapport direct entre investissement de sécurité et pertes dues aux fraudes. Un nouveau mécanisme de sécurité permet de bloquer de nouvelles fraudes et donc la valeur ajoutée de ce nouveau mécanisme devient facilement quantifiable.
Ainsi, une simple formule de retour sur investissement permet de mesurer la rentabilité d’un mécanisme de sécurité :
La problématique mondiale du titre de transport temporaire
La technologie la plus robuste et la plus difficile à frauder est la carte à puce. Une carte à puce à la formidable propriété de permettre de transporter physiquement un secret tout en restreignant physiquement l’accès à ce dernier aux seuls détenteurs de clés de chiffrement (le NIP d’une carte bancaire pourrait être vu comme tel). À l’aide d’électronique et de cryptographie, ce périphérique permet d’échanger de l’information en garantissant formellement que l’échange d’information est authentifié entre une carte à puce et le lecteur de carte à puce. Ça n’a l’air de rien, mais cette invention, brevetée en France en 1974, annihile la quasi-totalité des fraudes possibles avec ce type de périphérique. C’est pour cette raison que la carte à puce a connu un succès exponentiel avec les cartes de paiements ces dernières décennies.
Toutefois, ne nous méprenons pas, l’utilisation de cartes à puce est une condition nécessaire, mais pas suffisante à la sécurisation des titres transport. En effet, les attaques par canaux auxiliaires restent bien évidemment possibles avec par exemple, la révélation de la vulnérabilité Crypto-1 en 2008 sur les cartes à puces Mifare Classic, qui ont très largement été utilisées dans les réseaux de transport du monde entier bien après 2008.
La carte à puce est excellente, mais peut posséder un coût de production et de personnalisation oscillant autour de 10-15$. De plus, ce type de billet ne répond pas à une partie du besoin d’affaire des réseaux de transport qui est de pouvoir distribuer des titres de transport temporaires à usages limités ou à durée limitée.
En outre, un titre de transport doit coûter moins cher à produire qu’il ne rapporte avec sa valeur de vente. Ainsi, la carte à puce ne peut être utilisée pour les titres de transport temporaires, car non-viable économiquement. En conséquence, l’exploitation de mécanismes de sécurité non-cryptographiques (pistes magnétiques ou RFID avec zone mémoire type Mifare Ultralight) et moins robustes, rend le titre de transport intrinsèquement faillible à une attaque connu de type rejeu.
Les solutions possibles
Voici quelques pistes de solutions de la moins coûteuse à la plus coûteuse :
Conception de mécanismes algorithmiques
De la logique et du « gros bon sens » peut permettre de détecter ou de répondre à des fraudes (ex : bloquer un titre de transport 24h lorsqu’il a été activé il y a plus de 24h, bloquer un titre de transport deux passages lorsqu’il a été validé plus de deux fois, tenir un registre des titres de transport émis, etc.)
Exploitation du téléphone intelligent
Le téléphone intelligent permet d’exploiter la robustesse d’une carte à puce, via la carte SIM, pour un coût de production nul. Il serait donc possible de proposer des titres de transport temporaires complètement sécurisés et à faible coût. Par contre, la disponibilité d’un titre de transport temporaire reste inévitable pour les touristes sans téléphone intelligent. Toutefois, la réduction importante du volume de titres de transport pouvant être fraudés permettrait ensuite d’appliquer plus simplement des mécanismes de sécurité par conception ou de mieux contrôler la fraude.
Rendre gratuit l’accès aux transports publics
La billetterie ne finance, en général, qu’une partie des réseaux de transports publics et certaines villes internationales ont supprimé la fraude et les coûts nécessaires à la gestion et l’exploitation d’un système de billetterie, en rendant gratuit l’accès au réseau de transport public. Toutefois, il faut admettre que cela relève plus d’une démarche politique qu’économique. D’ailleurs, depuis le 29 février 2020, le Luxembourg est le premier pays à généraliser la gratuité des transports publics à l’intérieur de son territoire.
Nos conseils
Aux consommateurs
- Éviter les titres de transports temporaires (papiers);
- Privilégier les titres de transports sur une carte à puce;
- S’assurer d’utiliser le plus rapidement possible son titre de transport temporaire;
- Encourager votre réseau de transport public à lutter contre la fraude en privilégiant des supports de titres de transport sécurisés comme la carte à puce (en plus des considérations écologiques à l’utilisation de supports d’information réutilisables).
À l’industrie du transport public
- Analyser financièrement la fraude sur votre réseau et les moyens de lutte associés;
- Approcher ce problème de façon systémique selon une démarche qualité;
- Transformer le coût des fraudes en opportunité pour dégager des profits.
Pour conclure, afin de contrôler la fraude, il est conseillé d’effectuer des investissements rentables et d’orchestrer vos mesures stratégiquement. Je vous suggère d’adopter une démarche qualité de type ISO27001, tout en l’adaptant aux spécificités de la fraude et qui se réitérera selon une périodicité à définir :
- Planifier : établissement d’un Système de Gestion des Fraudes
- Déployer : Mise en oeuvre du Système de Gestion des Fraudes
- Contrôler : Surveillance et réexamen du Système de Gestion des Fraudes
- Agir : Mise à jour et amélioration du Système de Gestion des Fraudes
En outre, la deuxième étape de déploiement pourra adopter une démarche de type ISO27005 sur la gestion des risques que nous pourrions appliquer à la fraude, afin de porter des actions adéquatement gérées :
- Identifier les schémas de fraudes
- Mesurer les taux de fraude des différents schémas
- Mettre en oeuvre un plan de traitement de la fraude
Ces solutions et conseils pourraient être perçues comme des centres de coûts supplémentaires, mais une gestion stratégique de la fraude permet également d’évaluer le bénéfice de ces solutions. Le différentiel du taux de fraude par rapport à l’implémentation d’une nouvelle mesure de sécurité, devient de la valeur gagnée. Ainsi, la combinaison des coûts et des profits permet d’établir un retour sur investissement. Pourquoi ne pas utiliser cette approche afin d’investir uniquement dans des mesures rentables et génératrices de profit?
Sources :
https://fr.wikipedia.org/wiki/Th%C3%A9orie_du_cygne_noir
https://www.france24.com/fr/20200229-le-luxembourg-devient-le-premier-pays-à-rendre-gratuits-les-transports-publics
https://fr.wikipedia.org/wiki/Mifare
https://www.ttf.org.au/wp-content/uploads/2017/01/TTF-Ticket-to-Ride-Fare-and-ticketing-Paper.pdf
https://www.france24.com/fr/20200229-le-luxembourg-devient-le-premier-pays-à-rendre-gratuits-les-transports-publics
https://www.blackhat.com/docs/sp-14/materials/arsenal/sp-14-Almeida-Hacking-MIFARE-Classic-Cards-Slides.pdf