Un hacker a identifié une faille dans le système du parc d’attraction francilien pour générer des billets coupe-file à volonté.

Embarquer pour Space Mountain une dizaine de fois dans la journée? C’est possible, d’après un hacker qui témoigne auprès de BFM Tech. Sous le pseudonyme Artex, il raconte comment il a pu tirer profit du système Fastpass, qui délivre des billets coupe-file aux visiteurs de Disneyland Paris. Une méthode qui ne nécessite que peu de compétences en informatique.

Lors d’un récent séjour dans le parc, Artex scanne son ticket à une borne Fastpass pour obtenir son billet coupe-file. Sur le site de Disneyland Paris, il est précisé qu’un visiteur ne peut bénéficier que d’un ticket Fastpass à la fois. Mais une faille est rapidement repérée par le hacker. “Après avoir acheté nos tickets pour le parc, mes amis et moi avons été interpellés par les numéros des billets, qui étaient consécutifs” explique Artex. Le premier se terminait ainsi par “40”, le second par “41” et le dernier par “42”.

- © CC, Flickr (Joe Penniston)

Une méthode peu recommandable

Pour générer un ticket coupe-file, chaque billet présente un QR Code, un type de code-barres au format carré. Un dessin derrière lequel se cache en réalité une simple suite de caractères, incluant le numéro de billet. Les numéros étant consécutifs, Artex génère un nouveau code (cette fois sur son smartphone), associé au nombre suivant. Ce qui lui permet de retirer un Fastpass supplémentaire, correspondant au ticket vendu par Disneyland Paris juste après le sien. Une opération qui peut être renouvelée à l’infini.

Aussi maligne soit-elle, cette méthode pourrait donc nuire aux autres visiteurs du Parc, dont les billets sont associés à ces numéros et qui ne permettraient plus de générer de Fastpass. Surtout, elle correspond à une utilisation frauduleuse du système mis en place par le parc d’attraction. Artex affirme ne pas vouloir tirer parti de cette faille à l’avenir, mais alerter l’entreprise sur une conception logicielle trop peu sécurisée.

"Les systèmes informatiques ne sont pas infaillibles et des brèches peuvent toujours être découvertes. Néanmoins nous revoyons constamment nos procédures et systèmes. Nous avons pris en compte et apprécions les retours de nos visiteurs qui permettent d’améliorer et de renforcer nos procédures" a répondu Disneyland Paris, contacté par BFM Tech à ce sujet. On peut donc supposer que le problème sera prochainement résolu.

La faille évoquée dans cet article ne concerne qu’un type de billets vendus par Disneyland Paris. Afin de ne pas inciter d’éventuels visiteurs à utiliser la méthode mentionnée plus haut, nous ne préciserons pas de quelle façon se les procurer.