Alert: Security Gaps Allow Bots to Exploit UK Driving Test Booking System

Alerte : des failles de sécurité permettent aux bots d’exploiter le système de réservation des examens de conduite au Royaume-Uni

Table des matières
Scalping Bot management
16 Apr, 2025
|
min

La réservation d’un examen de conduite au Royaume-Uni est une étape cruciale pour de nombreux apprentis conducteurs, mais des revendeurs exploitent des failles de sécurité pour monopoliser les créneaux disponibles. Le système de réservation des examens de conduite au Royaume-Uni fonctionne via une plateforme centralisée, ce qui en fait la principale passerelle pour obtenir un examen. Cela signifie que toute vulnérabilité dans sa sécurité affecte des milliers d’apprenants, restreignant l’accès équitable et retardant leur capacité à obtenir un permis, tout en exposant potentiellement leurs données à des risques.

Les mesures de protection du site web sont insuffisantes, avec seulement une atténuation sélective des bots sur certains terminaux, mais pas tous. Des bots automatisés sont utilisés pour réserver et revendre des créneaux horaires, ce qui rend plus difficile pour les candidats authentiques d’obtenir une date d’examen. En conséquence, de nombreuses personnes sont contraintes de se tourner vers des services tiers qui tirent profit de ces failles de sécurité, ce qui exacerbe encore le problème.

Évaluation de la sécurité

L’équipe Advanced Threat Research de DataDome a mené une évaluation de la sécurité du système de réservation en ligne des examens du permis de conduire, en se concentrant sur les principaux vecteurs d’exploitation, notamment la création de comptes, la réservation de créneaux, la modification de réservations et l’annulation d’examens.
DataDome a identifié plusieurs vulnérabilités dans les mécanismes de protection du système :

  • protection partielle contre les bots : le site applique certaines mesures de sécurité, mais uniquement sur des endpoints spécifiques, laissant d’autres zones exposées ;
  • mise en œuvre faible de CAPTCHA : un simple CAPTCHA est requis au début du processus de réservation, mais une fois validé, aucun autre contrôle n’est effectué ;
  • facilité d’exploitation du scalping : en utilisant un framework bot open source avec une configuration minimale et un service de résolution de CAPTCHA, l’équipe a pu réserver des créneaux avec succès ;
    • une fois le défi CAPTCHA initial passé, la réservation d’un créneau est simple. Le processus consiste à remplir une série de formulaires avec des informations personnelles, dont le prénom, le nom et le numéro de permis de conduire ;
    • si cela semble à première vue rendre le scalping difficile, une vulnérabilité majeure permet toutefois de l’exploiter facilement : les détails du rendez-vous peuvent être modifiés après la réservation ;
  • les scalpers peuvent facilement modifier les détails de réservation : cette fonctionnalité, à l’origine destinée aux moniteurs d’auto-école pour échanger des élèves si nécessaire, est détournée par les scalpers ;
    • en utilisant un numéro de permis de conduire respectant un format attendu (sans validation apparente), les bots peuvent réserver des créneaux très éloignés dans le temps sans perturber les utilisateurs légitimes en temps réel ;
    • une fois qu’un acheteur acquiert un créneau, le scalper modifie simplement les détails de la réservation pour y inscrire les informations du nouveau titulaire. De plus, les paiements étant remboursables en cas d’annulation, le risque financier est minimal pour les scalpers qui ne parviennent pas à revendre les créneaux ;
  • les annulations de rendez-vous manquent de mesures de sécurité : les annulations peuvent être effectuées sans vérification supplémentaire, ce qui permet aux scalpers d’annuler gratuitement les créneaux invendus.

 

Conséquences et risques

  • Accès inéquitable aux créneaux : les candidats légitimes subissent des délais importants car les scalpers accaparent les créneaux pour les revendre, rendant presque impossible l’obtention d’une date d’examen dans un délai raisonnable. Cela frustre les utilisateurs et nuit à la réputation et à la crédibilité de la plateforme.
  • Exploitation à grande échelle : le seul coût initial pour les scalpers étant les frais de réservation remboursables, l’exploitation massive du système est faisable avec très peu de risque financier.
  • Potentiel d’activités frauduleuses : l’absence de vérification lors de la modification des réservations permet aux attaquants d’effectuer des changements non autorisés, ce qui pourrait entraîner des transactions frauduleuses, des risques d’usurpation d’identité ou encore des opérations sur le marché noir utilisant des identités volées pour réserver et transférer des créneaux.

Recommandations

Pour atténuer ces menaces, la plateforme devrait mettre en œuvre les mesures suivantes :

  • protection avancée contre les bots : aller au-delà des CAPTCHA basiques pour adopter une détection et une atténuation des bots en temps réel ;
  • mesures d’authentification renforcées : exiger une vérification par e-mail ou SMS lors de la modification des détails de réservation ;
  • détection comportementale : identifier et bloquer les interactions automatisées en se basant sur la vitesse de frappe et la fréquence des requêtes ;
  • limitation du taux de requêtes : mettre en place une file d’attente pour garantir aux utilisateurs légitimes l’accès aux créneaux horaires.

Les utilisateurs peuvent également jouer un rôle dans la lutte contre le scalping. Par exemple, les usagers de la plateforme peuvent :

  • signaler toute activité suspecte : si vous tombez sur des services proposant des créneaux d’examen à prix majoré ou suspectez une activité automatisée, signalez-le à la plateforme et aux autorités compétentes ;
  • soutenir les efforts de sécurisation de la plateforme : encouragez l’adoption de mesures anti-bot plus robustes en partageant vos retours avec le site officiel de réservation.

Conclusion

Le système de réservation actuel permet aux acteurs malveillants d’exploiter des failles de sécurité avec un minimum d’effort. Sans protections renforcées, les bots de scalping continueront à manipuler la disponibilité, ce qui crée des obstacles inutiles pour les candidats légitimes. Renforcer les contrôles de sécurité est essentiel pour garantir un accès équitable et protéger les données des utilisateurs contre toute utilisation abusive.

Articles liés