MagicPass: technologie RFID à Disneyland Paris

Bill le lézard a écrit:

ManuV a écrit:

Une question me vient, puisque cette carte est liée à notre carte de paiement et qu'il n'y a pas de code :
Quelle sécurité il y a avec ce Magic Pass ?
Si cette carte est égarée, il se passe quoi si quelqu'un l'utilise dans un restaurant par exemple ?

En ce qui concerne la carte que j'ai eu en mars, il y a bien à code à quatre chiffres à choisir lorsqu'on vous délivre la carte, et qui est à re-taper pour tous les achats mis sur la carte.

Je confirme pour avoir testé ce weekend, il y a bien un code à taper pour régler, code unique pour l'ensemble des cartes MagicPass des personnes de la réservation

ah m... on peut pas louer la suite Sleeping Beauty pour la semaine si on trouve la carte...

https://www.bfmtv.com/tech/disneyland-paris-un-hacker-trouve-une-faille-pour-ne-plus-faire-la-queue-1456202.html
Tiens, visiblement je ne suis pas le seul à trouver trop simpliste le système de billettique de DLP
Reste que je comprends pas pourquoi un PA et/ou un billet a l'autorisation de retirer des FP alors que le billet n'est pas passé à l'entrée du parc au préalable, ça parait le b-a-ba comme condition

Crush's Coaster a écrit:

https://www.bfmtv.com/tech/disneyland-paris-un-hacker-trouve-une-faille-pour-ne-plus-faire-la-queue-1456202.html
Tiens, visiblement je ne suis pas le seul à trouver trop simpliste le système de billettique de DLP
Reste que je comprends pas pourquoi un PA et/ou un billet a l'autorisation de retirer des FP alors que le billet n'est pas passé à l'entrée du parc au préalable, ça parait le b-a-ba comme condition

Tu aurais lu l'article attentivement, tu n'aurais pas dis ca.

Petit topo de la situation :
- La personne achète des billets sur le parc en caisse.

- La personne geek 2 minutes et découvre que le QR code du billet ne contient que le numéro de celui-ci (normal pour un QR code, tout les gros  systèmes de billetterie au monde fonctionnent comme ca).

- La personne compare avec ses amis et découvre que les numéros de billets se suivent.

- Cette personne a la jugeote de se dire "Si les billets se suivent, alors il y de très fortes chances la dizaine voir centaine de numéro après celui de mon billet soient valide pour une visite du jour car il ya d'autres personnes achetant des billets derrière moi et qui vont immédiatement rentrer dans le parc"

- Du coup la personne a générer des QR codes correspondant aux numéros de billets suivant les siens et comme les probabilités que les billets correspondants aient été émis et validé dans le parc le jour même étaient archi de son coté vu le contexte bah bingo ca a fonctionné.

D'ailleurs il aurait très bien pu utiliser la même pour rentrer gratis dans le parc même si la il aurait eu plus de chance d'être bloqué par la temporisation de 15 minutes imposé entre 2 passages d'un même billet aux tourniquets.


Le système FP est déja configuré pour n'accepter que les billets validés aux tourniquets le jour même pour éviter les fraudes. La on est clairement sur un détournement du système rendu possible par :
- L'utilisation du QR Code / Code barre
- La banalisation et généralisation des moyens simples permettant de générer ces codes à la volé.


La a partir de la il n'y a pas forcement beaucoup de moyen de contrer cela sauf a :
1. Revenir à un système de piste magnétique tout aussi peu fiable mais un peu plus compliquer à fabriquer à la volée, ce qui n'est pas du tout dans l'air du temps ni-compatible avec les avancées technologiques actuelles.

2. Liés le billet à un élément propre à l'utilisateur de type biométrie comme ce qui est fait dans les parc US par exemple mais ca n'empêchera pas la fraude après du type FAST Pass comme ici.


3. Randomiser complètement la génération des numéros de billets pour rendre cette combine plus difficile à mettre en oeuvre. Ce qui n'est pas forcement simple à faire et risque de générer des vrais usines à gaz coté IT sans pour autant être insurmontable.

Ou on peut garder ce système de numéro de billet qui se suivent mais chiffrer le QR Code. Il suffit que la machine possède la clé pour décrypter.

Anthonyxc a écrit:

Ou on peut garder ce système de numéro de billet qui se suivent mais chiffrer le QR Code. Il suffit que la machine possède la clé pour décrypter.

Cette méthode parait plus simple, utiliser un algorithme pour coder/décoder le QR code

Et ainsi, des gens se retrouvent avec des billets pas utilisables pour un FP puisque quelqu'un sans gêne les leur a volé. Sérieusement...
Il faudrait dans ce cas lier au billet un code PIN ou un truc comme ça, qui serait demander quand tu prends un FP. Chiffrer le QR, OU mettre une puce RFID chiffrée aussi, avec un algorithme pour désigner aléatoirement un numéro de billet.

@Lalou effectivement je n'avais pas pensé à la particularité des billets du jour pour l'accès aux FP ! C'est fort probable, mais c'est ta déduction, l'article ne le précise pas.

Mais sinon je ne vois vraiment pas pourquoi s'obstiner à défendre DLP sur ce point. Le système est archi rudimentaire, c'est un fait. Certes, des fois pas besoin de faire compliqué pour faire efficace, mais là je suis désolé, travaillant dans l'info je trouve ça tout de même aberrant qu'il soit aussi enfantin de générer des QR code qui permettent l'accès.

Franchement, pourquoi faire un systèle hyper-sofistiqué pour une gestion de coupe-files ???
Comment peut-on imaginer qu'un abruti qui n'a d'autres passion que de faire chier les gens s'emmerde (désolé du mot mais bon...) à jouer ce genre de jeu, en payant un billet pour ensuite jouer avec les fast-pass ? Et je suppose qu'il se prend pour un dieu ?
La bétise de ce genre d'individus n'a d'égal que leur inutilité dans la société

Lui il ne l'a fait à priori que pour les FastPass mais il pourrait utiliser ces QRCode pour entrer dans les Parcs. Si le QRCode ne contient que le numéro du billet, c'est le cas aussi pour l'entrée.

Bizarre que le système soit aussi simpliste.

Rassurez moi, les codes barre sur les billets ne sont pas aussi simplement le retranscription du numéro du billet ?

Si, je viens de vérifier, et c'est pareil pour les billets de concert.
Les numéros se suivent.
Mais la entre France Billet et Ticketmaster, tomber sur la même manifestation doit être improbable. Et si des billets achetés ensemble ont les numéros qui se suivent, rien ne dit qu'il n'y ait pas d'aleatoire entre différents lots. Pas chez Disney apparemment.

Et sur le Pass Annuel, le QR c'est juste le numéro imprimé au dessus en clair.

Lord Marshal a écrit:

Si, je viens de vérifier, et c'est pareil pour les billets de concert.
Les numéros se suivent.
Mais la entre France Billet et Ticketmaster, tomber sur la même manifestation doit être improbable. Et si des billets achetés ensemble ont les numéros qui se suivent, rien ne dit qu'il n'y ait pas d'aleatoire entre différents lots. Pas chez Disney apparemment.

Et sur le Pass Annuel, le QR c'est juste le numéro imprimé au dessus en clair.

C'est pour ca que cette combine est statistiquement très facilement utilisable pour des billets acheter le jour même en caisse mais pas pour les billets en ligne ou par des revendeurs partenaires car il n'y a aucune certitude que le billet va être utiliser en même temps.

@Crush : Le système est ultra rudimentaire certes mais si c'est le même partout c'est qu'il n'y a pas de raison de le sécurisé d'avantage. Je viens de verifier par exemple avec un billet d'avion que je prend demain et même la, les infos du QR Code sont en clair également.

La seule différence dans le cas du FastPass, c'est que l'on est pas sur une séquence d'entrée dans un parc ou autre ou le fait de traffiquer les QR codes sans être inquiété est de fabriquer un faux billet une fois sur place ce qui implique déja un peu plus de recherche pas facilement faisable à la volé. Sans compter les contrôles d'identité possible et la surveillance permanente qui fait que tu n'a le droit qu'a un essai..
La aux bornes fast pass il n'y a aucun contrôle et tu a tout le temps de t'organiser comme tu veut et de faire tes test "brute force" en live en étant tranquille.

Les transports ce n'est absolument pas comparable, ce sont des billets électroniques nominatifs. C'est l'identité qui fait foi: le QR code ne vaut rien sans la pièce d'identité associée. C'est d'ailleurs pour cela que l'on peut imprimer un e-billet SNCF (par exemple) à l'infini, puisque de toute façon il est incessible et utilisable uniquement par le passager inscrit sur le billet (après il est vrai que le contrôle de l'identité est loin d'être systématique - tout réside dans la part de risque que prendrait un contrevenant). Mais en théorie il est impossible d'utiliser le billet d'un autre, ça revient à une usurpation avec amende très salée à la clé.
La preuve du voyage c'est l'identité du passager enregistrée sur les serveurs du transporteur, le QR code n'est qu'un raccourci vers cette preuve.

Or les tickets vendus aux guichets des parcs ne sont pas nominatifs et c'est bien là toute la différence et tout le problème. Il n'y a aucun contrôle d'identité de toute façon, et ça change tout puisqu'il est du coup très facile de faire un faux. (pour les PA il y a un semblant de contrôle avec les photos même si de mon point de vue c'est très léger, surtout qu'on voit pas grand chose sur les photos faites au bureau des PA).

Alors évidemment la solution des billets nominatifs ne s'applique pas trop aux parcs (impossible de mettre en place des contrôles sans gêner les flux), mais il faudrait rendre le système un tant soi peu protégé avec un système de cryptage ou des numéros aléatoires (et qu'on ne me dise pas que c'est complexe à mettre en place, je l'ai vu dans des événements associatifs touts petits)

Les nouveaux tourniquets sont apparus au Parc Walt Disney Studios en phase de test, on remarque:
- la disparition de la guérite qui servait a faire passer les poussettes et PMR grâce à des passages plus grands
- l'apparition d'un écran avec une camera visiblement (reconnaissance ?)

Avec la disparition de la guérite, ça fait aussi augmenter le nombre de tourniquets pour les WDS.

ça va être plus facile de savoir si on peut passer ou pas
Mais ce qui m'étonne c'est que c'est pas facile de positionner
sa carte pour rentrer dans sa chambre
Ma carte de pointage avec la même technologie
rfid fonctionne mieux

Mais la carte il suffit de la poser et elle passe non ?

On espère que les Pass Annuel seront prochainement équipés de la RFID.

Perso, je remarque surtout qu'avec cette configuration, on ne va pas faciliter le travail des CM opérationnels (entre le fait d'être totalement excentré pour contrôler les passages + la suppression du chauffage qu'ils avaient dans les guitounes... dur dur la vie à Ticketing). On voit bien que le truc a été conçu par des gens qui ne sont pas sur le terrain

Le passage le plus large, qui semble être pour les PRM en fauteuil, est paradoxalement celui où la borne est surélevée, chercher l'erreur

Ca me rappelle le boulot ...
d'expérience ça va vite se rayer.

Elles servent à quoi les caméras ?

chris500 a écrit:

Le passage le plus large, qui semble être pour les PRM en fauteuil, est paradoxalement celui où la borne est surélevée, chercher l'erreur

Sauf qu'elle est surélevé coté CM pas coté Guest. Après pourquoi y'en a une surelevé par rapport aux autres...

@Dimitri, elle ne servirons peut être rien par contre à DLR ils utilisent un système de photo (prise par le CM à moment du premier passage du billet) pour lié le billet d'entrée à un visiteur spécifique et ainsi limiter les fraudes par reutilisation du billet par x personnes. Du coup on pourrait potentiellement avoir le même type de système si ils installe des caméra sur les tourniquets.

Il était temps! Pourvoir enfin rentrer dans le parc sans passer pour un assisté à devoir donner ça carte à un gars qui va la passer sur la machine. Du gain de temps maintenant.

Euh moi et la famille pour notre séjour de fin juillet n'avons pas eu à nous faire assisté . Chacun sont magic pass et welcome .J'ai du donner ma carte une fois seulement.