Perception à la STM: une faille dans le nouveau système

Le nouveau système de perception de la Société de transport de Montréal comporte une faille que des fraudeurs n'ont pas mis de temps à exploiter. En altérant légèrement les nouvelles cartes magnétiques, ils arrivent à prendre l'autobus à plusieurs reprises avec le même titre de transport sans avoir à débourser un sou.

La fraude, révélée à La Presse par un chauffeur d'autobus, n'implique pas la carte Opus, mais plutôt les billets de carton rouges et bleus que la STM vend à l'unité ou par lisières de six.

En pliant tout simplement le carton en deux - de façon à abîmer la bande magnétique - le billet devient illisible pour les appareils de perception installés dans les autobus. Les chauffeurs, lorsqu'ils voient le message «carte illisible» apparaître sur le lecteur, laissent systématiquement passer les clients. Le titre n'étant pas validé par l'appareil, il peut ainsi être réutilisé plusieurs fois.

«Il y a beaucoup de petits vites qui ont découvert le truc, affirme le chauffeur d'autobus qui a révélé l'astuce. Il n'y a pas grand-chose qu'on puisse faire. Quand on nous donne un billet plié, nous n'avons pas d'autre choix que de présumer de la bonne foi des gens».

Le nouveau système de perception, dont l'installation a commencé l'été dernier, a coûté 169 millions à la STM. Son implantation sera complétée en juin 2009.

Pour les besoins de notre enquête, trois journalistes de La Presse ont réussi à exploiter la faille avec succès. Dans chacun des cas, les chauffeurs ont vérifié la validité du titre en regardant la date d'émission et de péremption à l'arrière du carton. Ils n'ont cependant rien dit en constatant qu'il avait été altéré, et nous l'ont remis. En temps normal, les billets peuvent être utilisés pendant une période de temps limitée en guise de correspondance pour d'autres lignes d'autobus ou pour prendre le métro. Dans deux autres cas, les billets utilisés par les journalistes ont été acceptés par le système de perception malgré leur altération.

Depuis toujours, le syndicat des chauffeurs d'autobus demande à ses membres de ne pas intervenir lorsque des voyageurs tentent de passer sans payer le tarif. «Ce n'est pas notre travail de faire le contrôle. Il n'est pas question de recevoir une claque sur la gueule pour faire payer un client», confirme le président du syndicat, Claude Benoît.

Questionnée par La Presse, la porte-parole de la STM, Odile Paradis, dit être au courant de cette pratique frauduleuse. «Nous savons que ça existe. Ce sont des choses que nous déplorons», affirme-t-elle. La société de transport assure cependant que ce type de fraude sera mieux contrôlé dès que l'implantation du nouveau système de perception sera complétée, en juin 2009. Des agents de contrôle auront alors pour mandat de vérifier à l'intérieur des autobus et des wagons de métro la validité des titres de transport des voyageurs. «Tout le nouveau système de perception est basé sur un contrôle a posteriori, explique Mme Paradis. Les gens qui entreront dans les autobus sans valider leur titre de transport le feront à leurs risques et périls. S'ils se font prendre, ils vont payer l'amende.»

D'ici là, les chauffeurs ont pour consigne de «se servir de leur gros bon sens», indique Mme Paradis. «Nous apportons aussi des améliorations à l'équipement technologique. Des choses comme ça, plus ça va, moins il y en a», poursuit-elle.

Avant l'implantation du nouveau système, la STM estime qu'elle se faisait frauder à hauteur de 20 millions par année. Les nouvelles boîtes électroniques, installées dès 2007 dans les autobus, lui ont permis de récupérer 4,5 millions l'année dernière. La société prévoit récupérer 8 millions supplémentaires cette année. «Le système fait ses preuves. Nous sommes loin de l'époque où les gens se contentaient de mettre une poignée approximative de change dans la boîte», affirme Mme Paradis.

Selon José Fernandez, spécialiste en sécurité informatique à l'École polytechnique de Montréal, les fraudes semblables qui contournent les technologies sophistiquées sont suffisamment fréquentes pour que le concept soit enseigné sur les bancs d'école. «C'est ce qu'on appelle le «social engineering» ; on exploite la capacité de tromper les gens qui sont impliqués dans le système de sécurité, explique-t-il. La meilleure façon de l'éviter, c'est de confier à des équipes multidisciplinaires la création de ces systèmes. Il ne faut pas seulement se fier à des gens spécialisés dans la technique, mais aussi à des gens qui s'y connaissent dans les questions procédurales. Malheureusement, dans bien des cas, les équipes sont axées sur l'une ou l'autre des approches», explique-t-il.