Un hacker affirme, vidéo à l’appui, avoir réussi à pirater le système MoBIB de la STIB. Suivant la vidéo dévoilée, le hacker aurait réussi à s’introduire dans le système « sans contact » ou RFID de la carte de transport, pour là reprogrammer selon une période désirée et donc “de ne plus être redevable” frauduleusement envers la société de transports bruxelloise.

Selon le message révélé sur cette vidéo, le hacker semble vouloir attirer l’attention sur un problème de vie de privée qui serait lié au service de la STIB introduit depuis 2008. En effet, la puce RFID intégrée dans la carte serait capable de mémoriser les derniers voyages effectués sur le réseau STIB.

Le hacker prévient que si la société de transports bruxelloise ne change de pas de méthode pour mieux assurer la vie privée de ses usagers, l’accès au réseau STIB risque “de devenir gratuit pour tous”. Dans ce sens, le hacker invite toutes personnes à signer une pétition dénonçant ces méthodes.

Pour rappel, MoBIB est la dernière solution de titre de transport de la STIB. Introduite en 2008, elle est représenté sous la forme d’une carte de paiement traditionnelle et permet entre autres une durée de vie de la carte supérieure par rapport à une carte habituelle, des longueurs d’abonnements plus flexibles ainsi qu’une carte unique pour tous les services que vous utiliserez tels que les tickets de voyage.

Cette carte, basée sur la technologie « sans contact » ou RFID, peut ainsi être lu par une borne dans un rayon de 5 à 10 cm, donc la carte de transport ne doit plus être introduite dans une borne, offrant ainsi un gain de temps aux usagers.

Interrogé par nos confrères de la RTBF, le porte-parole de la STIB, Jean-Pierre Alvin, a indiqué qu’il ne s’agissait pas d’un nouveau dossier, “Il ne s’agit pas d’une actualité, c’est un vieux sujet qui ressort de manière récurrente sur les réseaux sociaux”. Renvoyant vers le fournisseur de carte MoBIB qui n’a pas répondu aux sollicitations de la RTBF, il est impossible jusqu’ici de savoir si cet acte de piratage est authentique ou s’il s’agit d’une supercherie.

Cette affaire entourant la carte MoBIB et la vie privée pourrait néanmoins avoir le mérite de relancer le débat dans les prochains jours.

Le lien vers la vidéo.

1 COMMENTAIRE

  1. Euh non, le MOBIB n’est pas un gain de temps pour les abonnés. Avant, avec l’abonnement papier, il n’y avait aucune validation nécessaire, maintenant, c’est la bousculade pour valider son mobib à chaque entrée dans un tram…

    Tout ça pour améliorer des statistiques..

    Bien joué gars 😉

  2. Personnellement, je ne fais jamais valider mon Mobib ( avec un abonnement annuel ) et j’ai déjà été contrôlé plusieurs fois, il n’y a eu aucun problème.

    • Sauf que l’article ne fait pas référence au fait de valider ou pas son abonnement mais bien à la manœuvre consistant à rallonger la période qu’il couvre…

  3. Je ne suis pas convaincu non plus que la carte représente un gain de temps pour les usagers. Effectivement, les abonnés doivent maintenant valider leur carte à chaque utilisation de transport, ce qui n’était pas le cas avant. Quant aux utilisateurs occasionnels, la plupart d’entre eux utilisent toujours des cartes papier, parce que c’est plus flexible qu’une carte nominative…

    • Ce n’est peut-être pas un gain de temps, mais au final, c’est un gain d’argent pour la STIB (et donc de meilleurs stations/moins d’augmentations/…) grâce à l’installation de portails. Ceux-ci rendent théoriquement toute fraude impossible (ou très compliquée). Ceci est impossible avec les abonnements précédents (ou alors vous préféreriez pointer à chaque fois?)

    • Heuuu pour rappel; le rayon comme spécifé dans l’article un rayon n’est pas une unité de longueur mais de surface => tout à fait nornal de parler en cm²….

      • Euh… je viens de trouver un client pour un retour direct en classe de maths…

        le rayon est une mesure (et non unité) de longueur et cette mesure peut être utilisée tant pour définir un disque (surface utilisant alors l’unité appropriée) ou une sphère (volume utilisant alors l’unité de volume).

        Mais en tant que tel c’est bien de longueur dont il sagit. (l’artice a d’ailleurs déjà été corrigé)

      • ” un rayon n’est pas une unité de longueur mais de surface => tout à fait nornal de parler en cm²”
        Les progrès de la technologie sont extraordinaires. Il y a une quarantaine d’années, on enseignait en faculté des sciences appliquées que le rayon était une longueur. On est donc passé depuis à une surface. Au rythme où cela progresse ce sera bientôt un volume.
        Et on l’exprimera en m3, ou, qui sait, en newton, en joule ou en ampère selon les convictions de chacun.

  4. Je paie toujours mon abonnement. Je ne suis donc ni un voleur ni un fraudeur. Toutefois, chaque fois que cela est possible, je ne valide pas ma carte Mobib car je tiens au repect de ma vie privée. Si le piratage d’une carte Mobib s’avère réel, l’ensemble des usagers de le STIB devrait exiger la supression de la carte MOBIB et son remplacement par un système moins intrusif de la vie privée.

  5. Et en plus de ça, je me demande la carte de quelle usager Mobib (peut-être des priviligiés ?) peut être lue à 5 cm. J’ai déjà du changer une fois de carte parce qu’elle n’était plus “lisible” et pourtant même avec la nouvelle carte, je suis obligé de la coller contre l’appareil et de repasser plusieurs fois…

  6. Ce sont VRAIMENT des boulets, à la stib. Et cons, en prime. Bref, j’ai copié les fichiers, et les garde au chaud (je suis programmeur).Pour ma part je ne valide JAMAIS ma carte et j’ai déjà été contrôlé au moins 5 fois. Aucun problème, et d’ailleurs ce serait illégal : ma forme d’abonnement annuel a été souscrite bien avant ces cornichonneries et nulle part je n’ai jamais signé pour valider quoi que ce soit ce qui est un comble pour un abonnement.

  7. Toute la force de la Belgique pour s’opposer à une évolution qui n’a choqué personne ailleurs: c’est quoi cette crainte des Bruxellois, ils ont peur que leur vie intéresse quelqu’un? Ils ont peur de valider un abo, alors que dans tous les pays du monde, on monte et on valide??

    Avec un réseau de transport en commun minable, merci la Stib, dénier à la Stib le droit de faire quelques statistiques fonder pour (peut être) améliorer les choses est la pire bétise qui soit!

    Il n’y a qu’une seule chose qui soit vrai: pourquoi la Stib s’acharne-t-elle à faire des billets nominatifs? A Londres, New York, toutes les cartes sont anonymes et identiques: on achète un ticket 1 voyage ou n’importe quel autre, rien n’empêche d’y charger un abonnement dessus. L'”abonné” est anonyme, mais les statistique de passagers possibles.
    Non seulement ça, mais ca réduirait l’administration de la stib à ce qu’elle mérite: néant.

    • “Avec un réseau de transport en commun minable, merci la Stib, dénier à la Stib le droit de faire quelques statistiques fonder pour (peut être) améliorer les choses est la pire bétise qui soit!”

      d’après la loi belge, toute tentative se rapprochant à une enquête dans le but de faire des statistiques se doit d’être rémunérée.

      d’après les loi européennes, toute tentative violant la vie privée se doit d’être punie.

      peut-etre que dans les autres pays, il n’y a juste que quelque pauvres péons qui vivent leur vie d’esclaves en essayant de ne pas se faire remarquer,

      mais ici , on est en belgique..welcome in real life

  8. persso je ne paye pas du tout vue qu’ils n’ont aucun droit a avoir votre carte d’identiter , alors vous inventez nimporte quel nom prenoms adresse et ciao

    C’est le piratage ecolo 😉

    • Et vive la solidarité. La preuve: moi et d’autres imbéciles dans mon genre payons pour vous (et je paie pour moi car mon père m’a enseigné des principes aussi stupides que celui qui consiste à ne pas voler).

  9. A pierre : c’est la vision anglo-saxonne, si t’as rien à cacher… et en moins de deux c’est big brother. Je le sais parce que je suis développeur et admin de bases de données. Vous n’avez pas idée de ce qu’on peut faire avec des données, et croyez-moi, il ne faudra jamais donner ce pouvoir exorbitant à nos dirigeants sinon c’est la dictature pour mille ans : la pire, celle dont on ne pense même pas à sortir.

  10. je pense vraiment que c’est un canular… faire lire une carte rfid sur un bete emetteur radio pour clavier microsoft faut le faire…

  11. @ Phillipe : tout a fait d accord avec vous Philippe. Personnellement j’ai arrêté mon abonnement Stib depuis l’avènement de ce système et en particulier à cause de la menace d’amende au cas ou on aurait “oublié” de valider.

    @ Pierre : A Londre, il y a eu ce genre de système, ensuite est venu le règne de la video surveillance constante, qui a prouver son inefficacité car tout ces système basé sur des paramètre digitaux sont aisément analysable et donc contournable. Investir dans l’humain, dans l’éducation et dans le civisme plutôt que dans les politiques basée sur le tout répressif..

  12. @philippe
    le problème c’est que si on ne réagit pas maintenant et assez fort, c’est trop tard. Les dirigeants (publics et privés) ont maintenant accès aux bases de données de facebook, google, et autres, de manière directe ou détournée et peuvent très facilement croiser les fichiers existants. Je ne dit pas qu’ils le font tous déjà de manière intensive (en europe en tout cas) mais le temps est compté avant que ça ne devienne un cauchemard. Et le pouvoir qu’ont les société privée surpasse celui des gouvernements en ce domaine…
    p.ex. les société de télécommunication ont la possibilité de vous traquer partout déjà (de leur propre aveux, et s’en servent – ex. pour la “sécurité routière”).
    Mobib ce n’est que la pointe de l’iceberg en forme de bourde.
    Il faut éduquer cette société qui s’enfonce dans un monde controlé par des machines avant que ça ne devienne ingérable… et recréer les structures de communication résiliente à ce genre de manipulation.

  13. Franchement, ça n’a rien d’étonnant.
    Les mêmes problèmes se sont posés ailleurs, par exemple chez nos voisins neerlandais.

    Moi je continue à utiliser les cartes traditionnelles pour me déplacer. Flicage non merci…

  14. @Philippe: vous n’avez pas bien lu l’intervention de Pierre: dans les autres villes, “toutes les cartes sont anonymes et identiques”. C’est le cas à Porto, par exemple, qui a profité des subsides européens pour construire un réseau de métro simple et efficace. Cartes ANONYMES: donc pas de risque d’un Big Brother à l’anglo-saxonne.

  15. Moi personnellement je trouve cela normale pour une société de vouloir tracer le flux de passage.
    Etant programmeur, je peux vous dire que cette manipulation n’est qu’un passe pour les portes automatique, si vous vous faite contrôler avec une carte “hackée” et que la stib à la bonne idée de croisée les données de la carte avec celles de leurs base de donnée interne ils verront vite le “hack” et vous serez donc accusé de faux et usage de faux, super… Et dire que les sois disant gestionnaire de base de donnée ci-dessus ne pense même pas à des détails comme celui-ci…

    Bref tout ca pour dire que j’en ai rien à ciré de pointer ma carte, je trouve ça inutile pour arrêter les fraudeurs mais bon pour les stats, si vous ne voulez pas aider la stib à analyser les déplacement c’est con car c’est votre propre service que vous mettez à mal, et c’est les mêmes qui viendront se plaindre qu’on a un système de déplacement merdique…

    De quoi avez vous peur qu’on sache que vous êtes passé par le portique “porte de Halle” à 7h45 pour ensuite avoir pointé à “Simonis” à 8h, ils ne savent même pas ou vous descendez, super la surveillence…

    On vous suis bien mieux avec vos gsm qui ont aussi été cracké qu’avec votre carte mobib.
    (et je ne parle pas encore des pda avec gps connecter à tous moment au réseau, juste le gsm banal suffit) pourtant ca ne vous empeche pas d’en avoir un dans votre poche à tout moment.

    • tout à fait d’accord.
      Une tempête dans un verre d’eau cette histoire de vie privée.
      Vive une bonne étude des statistiques disponibles depuis cette carte Mobib et les améliorations réseaux qui peuvent en découler.
      Je ne sais pas si vous avez lu aussi les diminutions de fraude depuis l’installation des portails, mais c’est phénoménal (+80 % de recettes à certaines stations !)
      Vive Mobib, qui en plus peut se combiner avec Villo et Cambio.
      Et oui, pour ce faire, il faut que la carte soit personnalisée.

    • A tetsuogw : En l’état, les teams de vérification ne REGARDENT même pas les cartes et quand vous proposez gentiment de l’extraire de la moche pochette bleue fournie avec ils vous disent que ce n’est pas nécessaire… De plus, leur petits lecteurs portables sont juste capables de lire en real time les registres nécessaires sur la carte, et n’embarquent pas de database SGBD de plusieurs centaines de GB. A la manière dont ils s’y sont pris, je doute que de telles vérifications puissent être mises en place avant des années. Dernier petit détail, Einstein : le truc ce n’est pas de graver une carte, mais de valider la sienne… Et là bon courage pour prouver le faux, hein ?

      • @Philippe : Einstein n’a jamais parlé de graver quoi que se soit mais bon soit…
        Il n’est en aucun cas nécessaire d’embarquer une base de donnée sur les terminaux de vérification car ses terminaux sont relié en sans fil au système et peuvent donc vérifier se qu’ils veulent sur la base de donnée centrale sans l’embarquer. La modification de la carte n’a alors aucun sens…

  16. J’aimerais rencontrer ce hacker, car ma carte mobib ne fonctionne plus depuis que j’ai été invité à recharger mon abonnement! C’est beau la technologie…

  17. Il y avait eu des pétitions avant l’introduction de cette carte qui ne respecte pas le droit à la vie privée et surtout qui fait des utilisateurs qui ont un abonnement prépayé des fraudeurs potentiels s’ils oublient de pointer (alors que le trajet est déjà payé d’avance)… Si vous vous retrouvez devant un portique à la sortie (alors qu’il n’y en avait pas à l’entrée) et que vous avez oublié de pointer (mais pas de payer vu qu’on paye d’avance) vous n’aurez pas le choix que de payer… pour sortir…
    C’est ça leur moyen de lutter contre la fraude et de combler leur manque à gagner: faire payer les clients honnêtes deux fois!

    Egalement et pour ceux qui ont lu le règlement, la STIB reste propriétaire de la carte et peu nous la retirer si elle estime qu’on n’en fait pas un usage correct! Ce qui reviendrait à nous interdire l’accès aux transports en communs de façon permanente: c’est tout simplement illégal.

    Il n’y a eu aucun enthousiasme par rapport à ces pétitions…

    Cette carte est à l’image de la STIB: peu respectueuse de ses usagers… Que dis-je, elle affiche un mépris flagrand!

  18. Note: la pétition est bel et bien celle qui date d’il y a deux ans (elle n’a donc rien à voir avec le hacker). Elle compte moins de 1000 signatures… La carte Mobib est entrée en fonction pour tous les abonnés en juin 2010…

  19. La seule et unique raison pour laquelle la carte mobib existe c’est de permettre la tracabilité totale et nominative de tous les voyages effectués sur le réseau STIB.

    En termes clairs: enregistrer et permettre d’identifier nominativement tous vos déplacements.

    Tout le blabla repris par l’auteur sur le “gain de temps” et “le rayon de 5 à 10 cm” sont issus directement de la communication officielle de la STIB et relèvent du mensonge pur et dur.

    Le conditionnel dans “la carte serait capable de mémoriser les derniers voyages effectués” m’a bien fait rire puisque tout le monde sait ou devrait savoir que la carte mobib reprend en clair et lisible à grande distance (par une antenne caché dans un portique ou un sac à dos par exemple): nom, prénoms, date de naissance, code postal et 3 derniers trajets effectués.

  20. @Philippe
    Je comprends le risque, ce que je ne comprends pas c’est pourquoi il ne fait peur qu’à quelques personnes à la limite de la paranoïa sur des forums: il est où l’organisme Belge qui s’occupe de la gestion des données privées, comme dans tous les pays? Laissez moi deviner, il est régionalisé/communautarisé, débordé, sous financé et n’a aucun pouvoir, c’est ça?
    Tout technologie est dangereuse, c’est pour cela que l’Etat est là pour protéger des abus…sauf que l’Etat en Belgique, ça n’existe pas. Le problème ne serait-il pas là?

    Mais comme le faisait remarquer un autre forumer, je ne défend pas la collecte de données personnelles. Un système de carte non nominative permettrait exactement les mêmes résultats statistiques, sans atteinte possible.
    Un autre intervenant dit que la collecte de données en Belgique, cela devrait être rémunéré…manquerait plus que ça! Quand un serveur vous apporte un plat, vous refusez de collaborer et d’enlever vos mains de la table s’il ne vous paye pas? Un service – a fortiori public – on en profite, et on aide à l’améliorer dans la mesure du raisonnable. Ceux que ça choque n’ont qu’à déménager loin d’une société humaine.

    Une dernière chose, qui me fait douter que la STIB pense au système anonyme: la crainte de la fraude, inhérente à la paranoïa culturelle du pays. Bien sûr, il y a de la fraude partout, mais ici, on préfère mettre en place des systèmes hyper-complexes pour un taux de fraude minoritaire.
    Dans un pays où il faut présenter sa carte d’identité pour déposer des encombrants, et payer au mêtre cube pour éviter les abus, on voit le résultat: objets abandonnés, rues dégueulasses.
    Et bien la STIB, de peur que 2% des abonnés anonymes se passeraient leurs cartes, nous a mis en place une usine à gaz avec photo d’identité et tout le toutim.
    Résultat personne n’est content (je comprends, même si je trouve cela exagéré), et les gens ne valident volontairement pas.
    Ne pourrait-on pas être d’accord sur cette piste de réflexion?

  21. Je vois beaucoup de gens parler de ce que la STIB pourrait faire avec les données sur la Mobib, le fait de pointer et les soucis du respect de la vie privée qui en découlent.

    Mais pense-t-on aussi à ce que n’importe qui d’autre pourrait faire de ses données?
    – copier la carte Mobib de quelqu’un pour pouvoir frauder “à son nom”. Et que se passe-t-il si la STIB découvre la fraude? Qui sera puni?
    – lire la carte Mobib de tous les usagers dans les transports en commun: nom, prénom, les derniers points de pointage, … Que la STIB sache ou je passe est une chose, mais que n’importe qui puisse le savoir en est une autre!

  22. Pour ma part, je n’ai pas d’abonnement STIB, non pas pour une des raison évoquées ci-dessus, mais pour les raisons suivantes:
    Je ne prends pas les transports en commun tous les jours. Un abonnement coûte 45.5€/mois, 1 trajet JUMP/10 coûte 1.25€, il faut donc faire au minimum 37 trajets avant que la formule de l’abonnement soit avantageuse… ce qui revient à 18 allers-retours.
    Et si je ne prends pas plus les transports en commun, c’est entre autre à cause de la piètre qualité du service (exemple: un mardi matin 8h30 à Montgomery il m’a fallu attendre 15 minutes pour avoir un métro!!!).

    Pour revenir au sujet de la carte MOBIB et du respect de la vie privée, toute organisation commerciale ou non, à le droit de collecter les données personnelles de ses clients/membres pour usage interne. C’est ce que dit la loi. Elle est tenue d’informer les personnes concernée sur la teneur des informations qu’elle collecte. A cet effet, la STIB stipule sur ses documents le fait que sur simple demande, il vous est possible de connaître ces données. Ils sont donc totalement dans leur droit…
    Par contre, que ces données soient lisible par n’importe qui, ça pose un problème. Il serait temps que la STIB planche sur un système qui rende plus difficile la lecture de nos données par des “inconnus”. Mais c’est peine perdue, les hackers auront toujours une parade… (même si je ne cautionne pas…)

    Un système “anonyme” est envisageable en partie. Pourquoi ne pas envisager, nom et prénon, date de naissance… écrit sur la carte; et sur la puce un n° de client avec les trajets, la validité de l’abo… Vu les terminaux dont disposent les contrôleurs ça ne devrait poser aucun problème.

    Pour terminer, savez-vous ce qu’il est inscrit sur les pistes magnétique des billets de train? En france: le numéro de carte Bleue avec laquelle il a été payé… Comme quoi, il y a pire ailleurs 😉