Le site Boston.com révèle l’histoire de cet homme qui, depuis plus de 4 ans, fabriquait de fausses cartes de transport valides sur le réseau MBTA de Boston. L’homme aurait (conditionnel du District Attorney) ainsi fabriqué plus de 20 000 cartes, donc 400 « seulement » auraient été mises hors circuit par la régie. A 175 $ l’abonnement, le faussaire avait de quoi s’offrir quelques voitures de luxe et éviter de prendre le métro de Boston. Les fausses cartes étaient distribuées par divers canaux de vente par correspondance, notamment via Craigslist, le site d’annonce dont tout le monde envie l’élaboration graphique de ses pages.
Le pot aux roses est découvert le jour où un contrôleur remarque les couleurs ternies d’un « pass » qui avait séjourné involontairement dans une machine à laver. Le sous-traitant chargé de la production de ces cartes et de la mise en place du service se trouve dans une position délicate, son « client » lui demandant un dédommagement à la hauteur du nombre de cartes falsifiées. Le sous-traitant comme le transporteur clame à qui veut bien l’entendre que le système était hautement sécurisé… propos douteux, surtout pour ceux qui se souviennent du passé « sécu » de la MBTA.
Car la MBTA, c’est celle-là même qui, afin de garder au secret les catastrophique pratiques de mauvaise sécurité entourant l’intégration de son système de carte d’abonnement, avaient assigné en justice un groupe d’étudiants ayant publié différentes méthodes de hack visant ladite carte. Fort heureusement, la plainte a été retirée, car probablement les avocats de la MBTA ont craint la réaction de l’EFF qui avait volé au secours des chercheurs. L’affaire remonte à 2008… cela faisait déjà plus d’un an que le faussaire fabriquait du faux RFID à la petite semaine, au nez et à la barbe de la police du métro de Boston, laquelle poursuivait des chercheurs plutôt que de véritables escrocs : les premiers sont plus faciles à localiser, puisqu’ils publient et s’adonnent aux plaisirs de la conférence.
Le plus étonnant dans cette histoire, c’est que l’escroquerie ait pu durer plus longtemps. Car 20 000 complices qui ne « parlent » pas, qui jamais ne commettent de bévue ou d’indiscrétion, et qui possèdent des cartes ne nécessitant aucun rechargement de crédit, cela relève de l’exploit. De l’exploit ou de la surdité de la part de la MBTA, qui, à aucun moment, n’est parvenu à recouper ses statistiques d’usagers et ses volumes de cartes vendues. Pourtant, une différence de 20 000 clients sur 4 ans, ça aurait dû passer difficilement inaperçu. D’autant plus que les marchands de RFID orientés transport, mettent précisément en avant le « tracking » des trajets et le flicage des usagers, dans le but de réduire les fraudes aux faux tickets et d’optimiser la régulation des lignes et la fréquence de passage des rames selon les directions et horaires.
L’autre aspect étonnant de cette histoire, c’est que seul Boston semble faire les frais de ces mauvaises pratiques. Il est très probable que d’autres grandes villes utilisant un système de contrôle d’accès (par carte RFID en général et MyFare en particulier) soient également victimes d’escroqueries à aussi grande échelle.