L’arrestation d’un pirate éthique provoque des protestations en rue
En Hongrie, un étudiant a été arrêté, après qu’il ait trouvé un bug dans le site web des transports publics de Budapest et en ait fait rapport correctement, selon lui. Cela suscite pas mal de protestations.
Faire rapport de sérieuses fautes de sécurité demeure donc risqué, même aujourd’hui où le monde connaît pourtant mieux le piratage éthique et les ‘bug bounties’ (programmes de reconnaissance et de compensation pour quiconque révèle un bug). Voilà ce qu’on peut conclure de l’histoire d’un étudiant hongrois. Ce jeune de 18 ans a repéré un bug dans le tout nouveau système d’e-billetterie de BKK, la société qui supervise le réseau de transport en commun de Budapest, ce qui lui a permis de modifier le prix du ticket avant de l’acheter. Il y était parvenu assez facilement en plaçant son navigateur sur ‘developer mode’ (donc en pressant, euh, f12), puis en modifiant le code-source du site. Il en fit ensuite rapport à BKK, en y ajoutant une démo.
Cette action provoqua son arrestation, et Kálmán Dabóczi, CEO de BKK, tint alors une conférence de presse, au cours de laquelle il annonça non sans fierté que son équipe avait découvert un pirate et avait déposé une plainte officielle contre lui. Il expliqua au public que le site web était entre-temps redevenu sûr. Voilà qui pourrait apparaître à certains comme une manière peu correcte de réagir à un problème sécuritaire potentiel.
Sa version des faits fut quasiment directement contredite par le jeune étudiant, qui expliqua dans un message posté sur Facebook qu’il avait informé BKK quelques minutes à peine après sa découverte du problème de sécurité: “Je n’ai pas utilisé le ticket (de la démo, ndlr) car je n’habite pas à Budapest. Je n’ai du reste jamais voyagé sur une ligne de BKK. Mon unique but était de faire savoir à BKK qu’elle avait commis une erreur, afin qu’elle puisse la corriger.”
Et de poursuivre: “Pendant quatre jours, je n’ai reçu aucune réponse de BKK, mais dans une conférence de presse, la société indique avoir été informée d’une cyber-attaque. Or je n’ai trouvé qu’un bête bug susceptible d’être abusé par beaucoup de gens. Pensez-vous vraiment qu’un jeune de 18 ans contournerait un système de sécurité sérieux pour accomplir des actes délictueux et irait ensuite l’expliquer aux autorités…”
Ce message s’est très vite propagé, et l’opinion publique a assez clairement choisi son camp. La page Facebook de la société Budapesti Közlekedési Központ (BKK), l’organe qui gère les transports publics à Budapest, est depuis quelques jours submergée de réactions, et son site web a été paralysé par des attaques en ligne. La colère n’a fait que s’amplifier, lorsqu’il est apparu qu’une entreprise locale, T-Systems, avait empoché un million d’euros pour assurer la maintenance des systèmes en question. Dans un communiqué, cette dernière firme signale que le bug est désormais corrigé, mais à présent que la moitié des internautes au monde est en train d’éplucher le site web, nul doute que pas mal d’autres bugs seront encore découverts.
Au début de la semaine, des manifestants sont descendus dans la rue et ont protesté devant les bureaux de BKK à Budapest. Des médias hongrois ont entre-temps aussi abordé le sujet avec des interviews et des profils dans lesquels le jeune homme apparaît comme un héros au quotidien.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici