Le SMS s'impose comme le ticket de transport de demain, sous conditions

Par 26 juillet 2011
Mots-clés : Digital Working, Europe
billet de train

Combiner une signature numérique sécurisée à un web service développé en Java permet de générer des billets de train directement au format SMS.

Se connecter pour acheter et imprimer son billet de train est devenu une pratique courante, pour qui n’a plus envie de faire la queue aux guichets. Prochaine étape : se passer de son imprimante en ayant directement son billet sur son téléphone mobile, via un SMS. C’est justement ce sur quoi a planché Steven Meyer, étudiant à l’Ecole Polytechnique Fédérale de Lausanne (EPFL). Un service qui semble à priori simple mais qui pose certains problèmes techniques : "pour ce type de tickets, il faut à la fois avoir un message très sécurisé, et être capable de le faire tenir dans moins de 160 caractères". Jusqu’ici, certains services permettent de recevoir des billets de train ou d’avion par MMS. Le MMS n’a pas les mêmes limitations en nombres de caractères qu’un SMS, mais il ne fonctionne pas avec tous les téléphones, et reste un service facturé beaucoup plus cher. Pour le consommateur, l’idée du SMS a donc du bon.

Un billet court et sécurisé

Pour mettre en place un tel service, Steven Meyer a combiné un modèle de signature numérique MOVA (du nom de leurs inventeurs, Jean Monnerat et Serge Vaudenay) avec un web service développé en Java. MOVA a été mis au point dans le même laboratoire EPFL en 2004, et a été amélioré depuis. Contrairement aux autres méthodes de signature numérique, les signatures MOVA sont plus sécurisées, et sont très courtes, puisqu’elles tiennent sur 4 caractères (20 bits). Elles se différencient des autres signatures numériques grâce à leur processus de vérification : un protocole interactif spécifique permet de s’assurer que la signature donnée est valide ou non. Cette méthode, combinée à la robustesse et la sécurité de Java, qui de plus consomme peu de bande passante, assure un service fiable. De plus, tous les messages entre le serveur et le client web ont été chiffrés avec l’algorithme AES.

Pas aussi simple dans la vraie vie

Dans un scénario d’usage de son service, un client achètera son ticket sur le site web de la compagnie ferroviaire. Un service web Java capable d’établir la connexion avec le serveur s’y connectera pour lui demander de générer une signature valide pour le message. Le client recevra ensuite le ticket de train par SMS. Dans le train, le contrôleur, équipé d’un terminal ad-hoc, scannera le message et confirmera ou refusera le ticket. "Dans un déploiement réel de la solution", précise le chercheur dans son rapport, "il faut aussi s’appuyer sur un fournisseur de service SMS pour envoyer les messages au client". Si d’un point de vue technique, l’implémentation d’un tel service semble viable, d’autres problématiques restent encore à résoudre. Comme le souligne Steven Meyer, "dans la vraie vie, il faudra aussi s’assurer de l’unicité du SMS, et s’assurer que les utilisateurs ne puissent pas transmettre des tickets entre eux. Enfin, il faudra que les contrôleurs puissent avoir un connexion continue lors des voyages pour pouvoir vérifier les tickets". 

Mentions légales © L’Atelier BNP Paribas