Les revendeurs ont utilisé les conclusions d’un chercheur en sécurité pour inverser l’ingénierie des billets numériques « non transférables » de Ticketmaster et AXS, permettant ainsi les transferts en dehors de leurs applications. La solution de contournement a été révélée dans un procès intenté par AXS en mai contre des courtiers tiers adoptant cette pratique, selon 404 Médiasqui a été le premier à rapporter la nouvelle.
La saga a commencé en février lorsqu’un chercheur en sécurité anonyme, connu sous le pseudonyme de Conductionion, a publié des détails techniques sur la manière dont Ticketmaster génère ses billets électroniques. Si vous n’êtes pas déjà familier avec le fonctionnement des systèmes modernes de billetterie électronique, Ticketmaster et AXS bloquent la revente de billets sur leurs plateformes, empêchant les transferts sur des services tiers comme SeatGeek et StubHub. (Pour les événements plus prioritaires, ils vont souvent plus loin en interdisant les transferts vers d’autres comptes sur la même plateforme.)
Bien que les entreprises affirment que cette pratique est strictement une mesure de sécurité, elle leur permet également de contrôler comment et quand leurs billets sont revendus. (Youpi, le capitalisme ?)
Ticketmaster et AXS créent leurs billets « non transférables » à l’aide de codes-barres rotatifs qui changent toutes les quelques secondes, ce qui empêche les captures d’écran ou les impressions de fonctionner. En arrière-plan, ils utilisent une technologie sous-jacente similaire à celle des applications d’authentification à deux facteurs. De plus, les codes ne sont générés que peu de temps avant le début d’un événement, ce qui limite la fenêtre de partage en dehors des applications. Sans interférence de tiers, les plateformes peuvent enfermer les acheteurs de billets dans leurs propres services de revente, leur donnant ainsi le contrôle vertical de l’ensemble de l’écosystème.
C’est là que les pirates informatiques entrent en jeu. En utilisant les résultats publiés par Conductionion, ils ont extrait les jetons secrets des plateformes qui génèrent de nouveaux billets, en utilisant un téléphone Android avec son navigateur Chrome connecté à Chrome DevTools sur un PC de bureau. À l’aide de ces jetons, ils créent une infrastructure de billetterie parallèle qui régénère les codes-barres authentiques sur d’autres plateformes, leur permettant de vendre des billets fonctionnels sur des plateformes que Ticketmaster et AXS n’autorisent pas. Des rapports en ligne affirment que les billets parallèles fonctionnent souvent aux portes.
Selon 404 MédiasLe procès d’AXS accuse les défendeurs d’avoir vendu des billets « contrefaits » (même s’ils fonctionnent généralement) à des « clients sans méfiance ». Les documents judiciaires décrivent les billets parallèles comme « créés, en tout ou en partie, par un ou plusieurs des défendeurs accédant illicitement puis imitant, émulant ou copiant des billets à partir de la plateforme AXS ».
La plainte d’AXS affirme que l’entreprise ne sait pas comment les pirates informatiques s’y prennent. La promesse de jailbreaker Ticketmaster est si lucrative que plusieurs courtiers auraient essayé d’embaucher Conductionion pour les aider à créer leurs propres plateformes parallèles de génération de billets. Les services déjà opérationnels sur la base des résultats du chercheur portent des noms tels que Secure.Tickets, Amosa App, Virtual Barcode Distribution et Verified-Ticket.com.
404 MédiasL’histoire de Conduction mérite d’être lue dans son intégralité. Les personnes plus à l’esprit technique pourraient s’intéresser aux premières conclusions de Conduction, qui illustrent ce que les mastodontes de la billetterie font sur leurs back-ends pour garder l’ensemble des écosystèmes sous leur emprise.