Auteur Sujet: Lyon, les TCL (transport en commun lyonnais) ont lancé le ticket dématérialisé  (Lu 31592 fois)

0 Membres et 1 Invité sur ce sujet

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 296
  • Montauban (82)
    • AS208261 - Pomme Télécom
Les contrôleurs vérifient plus que l'écran, non ?

Oui, je pense que les contrôleurs ne vérifient que l'écran. Si on regarde dans l'apk, il est possible de récupérer les différentes couches de l'animation, ainsi que le code qui les fait s'animer. Un petit malin pourrait très bien faire une fausse application :)

J'ai un ami bien plus doué que moi en programmation qui a réussi à faire un écran approchant la véritable application. C'est plus pour réaliser un POC que pour exploiter la faille donc il a eu la flemme de pousser le truc jusqu'au bout (sans parler du côté illégal évidemment). Par contre, ça n'ouvre pas les valideurs dans le métro :)

J'ai moi-même regardé un peu dans l'apk, et si j'avais un peu plus de temps (et de connaissances on ne va pas se le cacher) j'essayerais de modifier l'application originale, en ajoutant des billets gratuits (en supprimant l'étape de paiement par exemple lors de l'achat d'un titre de transport). Vu que l'application ne stocke pas ses données sur une puce chiffrée contrairement à la RATP, j'imagine que tout cela est possible.

Mais je m'arrêterai là, n'ayant ni besoin (je suis agent TCL, donc je ne paye pas les transports en communs) ni l'envie (illégal) d'une telle solution

xp25

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 5 864
L'application ne nécessite t'elle pas d'être connectée en permanence vu que le réseau TCL est entièrement couvert en surface comme en souterrain (d'ailleurs, je pense que le sytral l'a fait en priorité pour ça et niquer les petits malins qui voudrait truander) ?

Si c'est le cas, il est facile de faire une synchro avec un serveur qui vérifie des variables suite aux achats/validations en permanence.

Des sommes de contrôle peuvent peut être également être vérifiées sur n'importe quel fichier de l'application.

Ps : les titres sont sauvegardés sur le compte du client donc il y a bien une synchro (vu dans la FAQ).

Ps2 : si tu as un contact au B12, pose donc la question 😉

vivien

  • Administrateur
  • *
  • Messages: 47 083
    • Twitter LaFibre.info
Je pense qu'il est nécessaire d'avoir une connexion pour que les billets achetés puissent ouvrir les portes.

Mais pourquoi les contrôleurs n'utiliseraient pas les outils qui permettent de vérifier les billets sans contact ?

C'est la seule solution pour éviter la fraude avec une fausse application et en plus c'est rapide (on passe devant les contrôleurs et on pose le titre / téléphone devant le boîtier du contrôleur est c'est tout de suite terminé)

A l'époque des cartes Orange au format ticket magnétique, les contrôleurs ne vérifaient pas systématiquement la validité du titre (demande trop de temps). Aujourd'hui cette vérification est faite (mais sur Paris les contrôles n'ont pas encore repris depuis leur suspension le 5 décembre).

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 296
  • Montauban (82)
    • AS208261 - Pomme Télécom
L'application ne nécessite t'elle pas d'être connectée en permanence vu que le réseau TCL est entièrement couvert en surface comme en souterrain (d'ailleurs, je pense que le sytral l'a fait en priorité pour ça et niquer les petits malins qui voudrait truander) ?
Je pense qu'il est nécessaire d'avoir une connexion pour que les billets achetés puissent ouvrir les portes.

Nope :

Lors de l'achat, le téléphone doit être connecté au réseau 4G ou en Wifi. Cette connexion n'est plus nécessaire lors de la validation ou du contrôle.

xp25

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 5 864
Bon bin reste plus qu'à ouvrir un topic bien caché -> comment faire chanter le réseau TCL 😂

vivien

  • Administrateur
  • *
  • Messages: 47 083
    • Twitter LaFibre.info
"Lors de l'achat, le téléphone doit être connecté au réseau 4G ou en Wifi. Cette connexion n'est plus nécessaire lors de la validation ou du contrôle."
Oui, mais lors de l'achat, il est rentré en base de donnée pour qu'il soit accepté lors de la validation.
Ceci afin d'éviter la créations de nouveaux tickets qui n'ont pas été payés.
=> Pour moi il n'est pas possible de faire une application qui crée de nouveaux tickets. (les tickets crées comme ça n'ouvriront pas les portes)

Si tu penses que dupliquer la piste magnétique du ticket de métro de Paris (un simple double cassette doit permettre de le faire) va permettre de le multiplier détrompe toi.
Il y avait par contre des fraudes avec des carte Orange qui étaient dupliquées. Un même numéro d'abonnement était validé plusieurs de 1000 fois chaque jour  :-\.

La fraude avec ceux qui te proposent des tickets de métro pas cher devant les distributeurs, ce sont des tickets enfants achetés par carnets et revenu à l'unité.
Il y a par ailleurs un vrai souci avec a certaines gares, comme la gare Montparnasse, un manque d'automate. Il y a systématiquement une file d'attente impressionnante devant chaque distributeur, j'ai honte de voir qu'on n'arrive pas a augmenter le nombre de distributeurs pour faire face à la demande (je ne parle même pas de la file pour acheter son ticket au guichet)

Il y a aussi la fraude avec les faux contrôleurs qui tentent d'encaisser des amendes. L'imagination n'a pas de limite.

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 296
  • Montauban (82)
    • AS208261 - Pomme Télécom
"Lors de l'achat, le téléphone doit être connecté au réseau 4G ou en Wifi. Cette connexion n'est plus nécessaire lors de la validation ou du contrôle."
Oui, mais lors de l'achat, il est rentré en base de donnée pour qu'il soit accepté lors de la validation.
Ceci afin d'éviter la créations de nouveaux tickets qui n'ont pas été payés.
=> Pour moi il n'est pas possible de faire une application qui crée de nouveaux tickets. (les tickets crées comme ça n'ouvriront pas les portes)

Pour moi, la connexion internet ne sert qu'à accéder à la page de paiement, et aussi à actualiser la liste des tickets disponibles. Par exemple, pour proposer les tickets "TCL en fête" lors de la fête des Lumières ou "Tick'Air" lors des épisodes de pollution.
Si je peux admettre que les valideurs du métros puissent être mis à jour en temps réel pour autoriser tel ou tel ticket (ce dont je doute fortement, on parle quand même de 755 000 (2017) passages quotidiens dans le métro de Lyon), cela me parait beaucoup plus compliqué pour les bus et les tramways.
Je ne sais plus où je l'avais entendu, mais il me semble que pour bloquer les cartes Técély volées il est possible d'inscrire le numéro de série de la carte dans une base, ce qui va empêcher de l'utiliser immédiatement dans le métro et au bout de quelques jours dans les trams et bus. (#infononsourcée)

Si tu penses que dupliquer la piste magnétique du ticket de métro de Paris (un simple double cassette doit permettre de le faire) va permettre de le multiplier détrompe toi.
Il y avait par contre des fraudes avec des carte Orange qui étaient dupliquées. Un même numéro d'abonnement était validé plusieurs de 1000 fois chaque jour  :-\.

Je laisse ça là :


xp25

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 5 864
Pour ça, il faut que le valideur fasse une requête en DB ce qui je pense n'est pas le cas 🤔

Imagine le traffic si TOUT les valideurs du réseau questionne à chaque carte/smartphone pour savoir si le titre est valide.

Pour le ticket magnétique il y a des sites qui indique la manoeuvre mais bon c'est pas un hack faisable à grande échelle surtout qu'il faille bypasser l'encre, ce qui à l'heure actuelle est une tanée plus que de s'occuper de remettre la piste à "zéro".

A Lyon, jamais vu de revente même en temps de fête -> ça contrôle à mort ces jours là et il y a du personnel en station avant les portiques.

Pareil pour le contrôle, le sytral à trouvé la parade, agents en civil qui tournent et ils sont lors des opérations en bande avec le PDA de contrôle qui édite un ticket de reçu obligatoire.

xp25

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 5 864
Lechercheur123 avance apparemment les mêmes pensées que moi 😁

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
(mais sur Paris les contrôles n'ont pas encore repris depuis leur suspension le 5 décembre).
J’ai été contrôlé ce soir pourtant :)

mattmatt73

  • Expert.
  • Abonné Bbox fibre
  • *
  • Messages: 7 338
  • vancia (69)
J’ai été contrôlé ce soir pourtant :)

moi aussi !

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Et au même endroit en plus... Quelle coincidence !