ChloéUn hacker a trouvé une solution pour éditer à l’infini des billets coupe-file à Disneyland Paris. Le pirate a généré lui-même un QR code pour obtenir son propre « Fastpass ». Le parc d’attractions assure avoir pris en compte la faille, qui ne concernait qu’un seul type de billets.
Embarquer dans Space Mountain plusieurs fois par jour et sans attendre ? Ce rêve s’est réalisé pour Artex. Ce jeune hacker français a expliqué le 17 juin dernier sur BFMTV comment détourner le système « Fastpass ». Ce dispositif permet de générer un ticket coupe-file pour monter dans un manège à une heure précise, sans avoir besoin de faire la queue.
Un deuxième QR Code
Artex a compris comment éditer des billets coupe-file à l’infini. Pour obtenir ce genre de ticket, l’utilisateur doit scanner à l’entrée de l’attraction un QR Code inscrit sur son billet d’entrée. « Après avoir acheté nos tickets pour le parc, mes amis et moi avons été interpellés par les numéros des billets, qui étaient consécutifs », explique le pirate.
Là réside la faille du système coupe-file. En s’inspirant de ce qu’il avait vu sur les billets d’entrée, le jeune homme a généré un nouveau QR Code sur son smartphone avec un nouveau numéro de billet. Cette méthode frauduleuse lui a permis d’obtenir un « Fastpass » en plus… En réalité, celui correspondant au billet vendu par Disneyland Paris juste après le sien.
Une faille qui n’existe plus ?
Cette technique créée un problème de taille pour les visiteurs. Plusieurs billets avec le même QR Code se retrouvent en circulation le même jour dans le parc. « Les systèmes informatiques ne sont pas infaillibles et des brèches peuvent toujours être découvertes. Néanmoins nous revoyons constamment nos procédures et systèmes », assure Disneyland Paris.
Artex ne compte pas tirer bénéfice de sa découverte. Le hacker affirme avoir pris la parole pour alerter l’entreprise sur la faible sécurité de son logiciel. « Nous avons pris en compte et apprécions les retours de nos visiteurs qui permettent d’améliorer et de renforcer nos procédures », conclut le parc d’attractions. La faille devrait être rapidement corrigée.
