La découverte qu’on puisse visionner et transférer le crédit contenu sur le bracelet de festival de quelqu’un à Werchter, n’est pas neuve. Weezevent, l’entreprise à l’initiative de la technologie, connaît le problème depuis 2017 déjà, mais n’envisage pas de le corriger.
Cette semaine, le hacker éthique Inti De Ceukelaire signalait non seulement qu’il était relativement facile de visionner les commandes passées par quelqu’un au moyen du QR-code intégré au bracelet du festival de Werchter Boutique et de TW Classic, mais aussi qu’il était possible de virer le crédit restant vers un autre compte au cas où l’utilisateur n’aurait pas de compte en ligne auquel est associé le bracelet.
Live Nation a réagi en déclarant ne rien savoir à propos de cas de fraude, mais prévient depuis lors les festivaliers de ne pas partager de photos de leur QR-code sur les médias sociaux.
Or ce problème est, semble-t-il bien connu, mais pas sur un festival organisé par Live Nation. En 2017 déjà, Der Spiegel découvrait en effet quasiment une situation identique lors de l’édition allemande de Lollapalooza. Le fournisseur de la technologie s’appelait PlayPass, une firme qui est fusionnée depuis 2020 avec Weezevent, cette même entreprise qui fournit la solution de paiement utilisée à TW Classic, Werchter Boutique et Rock Werchter.
A l’époque, le magazine allemand Der Spiegel avait réussi à faire virer des montants de dizaines d’euros de différents QR-codes vers son propre compte. Il en résulta que Lollapalooza renonça à cette option, et chaque personne qui avait demandé à être remboursée de manière tardive, avait dû prendre elle-même contact avec l’organisation.
Weezevent: ‘La fraude est impossible’ (mais ce n’est pas vrai)
Data News a pris contact avec Weezevents pour savoir pourquoi, six ans après l’incident survenu en Allemagne, elle n’avait pas adapté ses procédures ou sa technologie. Nous lui avons demandé en outre si elle envisageait de le faire maintenant que le problème était aussi connu en Belgique.
Weezevent n’a pas répondu au téléphone. Même David De Wever, en son temps CEO de PlayPass et managing director de Weezevent Belgium, n’était pas accessible pour des commentaires. Par mail, nous avons reçu une réaction de Pierre-Henri Deballon, co-fondateur et CEO de la nouvelle entreprise Weezevent, mais elle contenait des inexactitudes factuelles.
‘Aucun vol n’a jamais été constaté sur des milliards de transactions… Cette fraude est impossible (ou stupide, si vous voulez l’appeler ainsi), parce que pour transférer de l’argent, vous devez donner votre numéro de compte en banque (ce qui fait qu’on connaît ainsi le ‘voleur’). Désolé, mais cela ne vous permettra pas de gagner le prix Pullitzer [sic] ;-))))’, telle était en substance le contenu de la réaction écrite de Deballon à Data News.
Deballon trahit cependant la vérité. Der Spiegel avait réussi en 2017 à virer de l’argent et donc, affirmer que de telles choses n’ont jamais été constatées, c’est factuellement inexact.
A propos du compte bancaire, le raisonnement ne tient pas non plus vraiment la route. Certes, il est possible de connaître l’identité du titulaire d’un compte en banque européen. Mais ces 15 dernières années, des escrocs sur internet exploitent souvent ce qu’on appelle des mules financières. Ce sont là des gens qui se laissent convaincre (ou tromper) de mettre leur compte en banque à la disposition de criminels, afin de collecter ou de transférer rapidement cet argent. Or ce sont souvent ces ‘mules’ qui sont arrêtées et condamnées, et pas les principaux auteurs. Que le transfert vers un compte en banque permette d’identifier le ‘voleur’, est donc un mythe, si ce voleur sait un tant soit peu s’y prendre. Cette technique est connue depuis des années déjà par la police, y compris dans notre pays.
Rock Werchter: s’enregistrer, sinon le stockage d’argent sur un bracelet de festival reste vulnérable
Nous avons attiré l’attention de Deballon sur cette erreur, mais nous n’avons encore reçu aucune réaction. Il semble donc ne pas y avoir la moindre intention d’adapter les procédures chez Weezevent. Cela signifie aussi qu’il sera encore et toujours possible de détourner de l’argent des bracelets de festival à Rock Werchter, qui aura lieu la semaine prochaine.
Il est fortement conseillé de ne pas partager de photos du QR-code ou le code chiffré au dos du bracelet. Mais soyez également vigilant, si quelqu’un prend des photos de votre bracelet. La meilleure protection est de créer un compte à Rock Werchter et d’y associer votre code. Dans ce cas, l’argent ne pourra pas être transféré vers un autre numéro de compte.
Ce vendredi matin, Data News a aussi demandé à Live Nation, l’organisateur des festivals de Werchter et client de Weezevent, de réagir. Live Nation déclare ne pas être au courant de l’incident de 2017 et ajoute que PlayPass/Weezevent a déjà démontré toute sa valeur à plusieurs festivals internationaux. Il a aussi pris note des nouvelles informations et a demandé de plus amples explications.
Update 13 heures:
David De Wever, directeur de Weezevent en Belgique, déclare pour sa part qu’il existe des systèmes permettant de limiter l’abus à grande échelle: ‘Le nombre de doubles comptes en banque est bien détecté. Si quelqu’un décline le même numéro de compte pour 3 bracelets de festival ou plus, cette démarche sera signalée en interne, et notre support mènera alors l’enquête et prendra contact avec cette personne.’
Comme le remboursement n’est possible que quelques jours après la fin du festival et qu’une semaine en moyenne s’écoule entre la demande et le remboursement, une analyse est possible. De Wever le reconnaît, mais insiste sur le fait que la fraude à grande échelle est impossible: ‘Le montant moyen sur le bracelet est inférieur à dix euros. Et si vous avez créé un compte, le montant du crédit restant sera remboursé via la même transaction.’
Enfin, De Wever ajoute que le transfert du crédit en enregistrant le QR-code de quelqu’un et en signalant un bracelet ‘égaré’ s’avère plus malaisé qu’il n’y paraît. Il vous faudra généralement aussi pouvoir décliner une preuve d’achat. ‘Même si vous y arrivez, le propriétaire original remarquera à sa prochaine commande que son bracelet n’est plus valable et se tournera alors vers le support. Par la suite, au stand des boissons, on se rendra rapidement compte si c’est un voleur qui passe commande.’
Update 13H15’:
Le dernier paragraphe de l’article original a été complété par la réaction de l’organisateur du festival, Livenation.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici