Au début du mois de juin, alors que la grève à la SNCF perturbe le trafic ferroviaire, Elias, étudiant en finance, prend un TER pour rejoindre la Normandie depuis Paris.

L’étudiant a acheté son e-billet depuis l’appli Voyages-SNCF de son iPhone, son train a du retard. Vers la fin du trajet, il fait un tour sur l’appli et observe qu’il est encore en possible d’annuler son billet – et ainsi de se faire rembourser. C’est ce qu’il fait et... ça fonctionne !

Un bug dans l’appli



Le logo du téléphone portable dans les trains de la SNCF - Flickr/CC/Andrew Bowden

Les e-billets, en forme de QR code, ne peuvent pas être compostés. En temps normal, il est donc impossible de les annuler après l’heure de départ du train, afin d’éviter que des utilisateurs ne puissent se faire rembourser un billet de train utilisé mais non contrôlé – ou flashé – pendant le trajet.

Elias décide alors d’en parler à une amie pour qu’elle réalise le test sur un autre train TER. Bingo, l’astuce fonctionne encore.

Même scénario sur un TGV

Le 16 juin, les grèves à la SNCF sont « résiduelles », mais l’astuce d’Elias, elle, semble toujours fonctionner.

« Ce jour-là, j’achète un billet de TGV à 60 euros, pour faire Lyon-Paris, toujours sur l’appli. Un contrôleur vient vérifier mon e-billet sur mon portable pendant le trajet. Après ça, je suis retourné sur l’application et j’ai pu de nouveau supprimer mon billet et me faire rembourser. »

Après en avoir discuté avec quelques amis, il décide d’envoyer un petit message à la SNCF. « Par souci d’honnêteté », et avec l’espoir un peu secret que la SNCF fasse un geste commercial pour avoir signalé ce bug potentiellement très coûteux. Un peu comme l’avait fait Instagram en donnant 10 000 dollars à un jeune « pirate » de 10 ans qui avait trouvé une faille dans l’appli.

Rappelé dans l’heure par la SNCF

« J’ai envoyé un message sur la plateforme de contact du site Voyages-SNCF en leur disant que j’avais trouvé une faille de sécurité. Ils m’ont rappelé dans l’heure pour m’en demander un peu plus. »

Elias raconte alors le bug et donne la référence de l’un des billets de train qu’il a pu se faire rembourser, après le départ.

« Je me suis dit que je ne risquais rien puisque que c’était un problème qui venait de leur application. D’ailleurs, ils m’ont remercié de les avoir prévenus. »

Une « faille technique minime »

Contacté par Rue89, Voyages-SNCF confirme bien que leur équipe de sécurité a eu un échange avec l’étudiant à propos d’une « faille technique minime ».

Mais selon eux, il est possible de remonter jusqu’aux tricheurs via l’application. « 100% des fraudeurs sont pris » pendant ou après le trajet, affirme le service communication.

Pour l’équipe technique, ce type de contacts avec des utilisateurs est fréquent pour traquer les possibles bugs de l’appli. Une plateforme et des rencontres entre internautes et experts ont même été mis en place depuis quelques mois.

Récompense ? Un colis surprise

Pour autant, la SNCF n’a pas eu l’élan de générosité de Facebook – propriétaire d’Instagram – avec les « chapeaux blancs ».

Elias a reçu un e-mail vendredi après-midi le remerciant de son échange avec le service de sécurité du site. Mieux, la SNCF doit lui envoyer un « colis de remerciements ».



L’e-mail reçu par Elias après avoir signalé la faille à la SNCF - Capture d’écran

Le paquet « qui fait environ la taille de deux boîtes de chaussures », contient « des lots que [l’]équipe Sécurité a demandé de vous envoyer en remerciement suite à vos échanges » précise l’e-mail. Pas de quoi s’emballer, il s’agit de goodies « relativement symboliques », nous précise Voyages-SNCF.