SNCF : un étudiant découvre une faille dans l’application et voyage gratuitement
Les grèves de la SNCF ça a parfois du bon. Un bug dans l’application de l’entreprise a permis à un étudiant de se faire rembourser après avoir pris son train. L’étudiant a prévenu la SNCF. Et les remerciements sont stupéfiants.
Début juin, un étudiant en finance prend un TER pour se rendre en Normandie depuis Paris. Il achète son e-billet via l’application Voyages-SNCF et attend sagement son train. Mais comme vous le savez sans doute, la SNCF était en grève ces derniers temps. Le train d’Elias, l’étudiant en finance, a donc eu du retard.
Après être finalement entré dans son train et avoir fait un bonne partie du trajet, Elias relance l’appli Voyages-SNCF. Et là, il se rend compte qu’il est encore possible d’annuler son billet et de se faire rembourser. Il tente le coup et ça fonctionne.
Vous le savez peut-être, sur les e-billet, c’est un QR Code qui fait office de validation du billet par le contrôleur. Il n’y a donc pas de compostage avant d’entrer dans le train. Il est donc normalement impossible d’annuler un train après son départ. Pour être sûr que sa technique fonctionne, Elias demande donc à une amie de réaliser la même manipulation sur un autre trajet TER. Et ça fonctionne encore.
Le 16 juin, alors que les grèves à la SNCF sont quasiment terminées, Elias tente le coup sur un trajet TGV entre Lyon et Paris. Le contrôleur flashe son billet et Elias pense alors que son stratagème ne peut plus fonctionner. Mais il essaie quand même. Et là, surprise, ça marche ! Il raconte :
Ce jour-là, j’achète un billet de TGV à 60 euros, pour faire Lyon-Paris, toujours sur l’appli. Un contrôleur vient vérifier mon e-billet sur mon portable pendant le trajet. Après ça, je suis retourné sur l’application et j’ai pu de nouveau supprimer mon billet et me faire rembourser.
L’étudiant contacte la SNCF qui le récompense de manière ridicule
Elias discute de cette méthode avec ses amis et se dit qu’il va signaler le bug à la SNCF, d’abord par souci d’honnêteté mais également dans l’espoir que l’entreprise le récompense de quelques deniers comme peuvent le faire Facebook ou Google lors d’un signalement de bug important.
J’ai envoyé un message sur la plateforme de contact du site Voyages-SNCF en leur disant que j’avais trouvé une faille de sécurité. Ils m’ont rappelé dans l’heure pour m’en demander un peu plus (…) Je me suis dit que je ne risquais rien puisque c’était un problème qui venait de leur application. D’ailleurs, ils m’ont remercié de les avoir prévenus. – Elias –
La SNCF a bien confirmé à nos confrères de Rue89 que son équipe s’était entretenue avec le jeune homme. Mais la récompense pour la découverte de ce bug qui aurait pu coûter une fortune à l’entreprise est vraiment ridicule.
Elias va recevoir un “colis de remerciements (…) qui fait environ la taille de deux boîtes de chaussures” et qui contient “des lots que l’équipe Sécurité a demandé de [vous] envoyer en remerciement suite à [vos] échanges”. En fait il s’agit de goodies aux couleurs de la SNCF. Super la récompense de folie ! Comme quoi l’honnêteté n’est pas toujours payante…
