Qu'a réellement fait le chercheur ?
Ian Carroll est parti chercher des failles dans Front Gate Tickets, la branche billetterie que Live Nation et sa division Ticketmaster utilisent pour une longue liste de festivals américains. Il a repéré un point d'API destiné aux appareils, celui que consultent les scanners aux portes, et un paramètre nommé deviceUID qui ne nettoyait pas ses entrées. La plateforme était protégée par un pare-feu, un AWS WAF, qui ne lisait que la couche externe d'une requête. Carroll a utilisé le Claude d'Anthropic pour glisser le code malveillant dans une sous-requête imbriquée, et la charge est passée sans encombre. À partir de là, ce fut un oracle booléen, une question vrai ou faux à la fois, jusqu'à ce que la base livre sa structure.
Quelle était l'ampleur de l'accès ?
Énorme. La base interne comptait plus de 500 tables : identifiants du personnel, commandes des clients et une table de jetons de réinitialisation actifs, utilisables pour détourner des comptes. Avec ça, Carroll dit qu'il pouvait s'émettre à lui-même des billets pour n'importe quel événement, de n'importe quelle valeur, et fouiller les fichiers clients à sa guise. Une simple recherche sur "chris" renvoyait des milliers de personnes. C'est la colonne vertébrale des entrées d'EDC, de Bonnaroo et d'Outside Lands, à une seule requête non authentifiée d'une prise de contrôle totale.
Le pare-feu ne lisait que l'extérieur de la requête. Les vrais dégâts se jouaient un cran plus bas.
Pourquoi Ticketmaster est-il en première ligne ?
Parce que Front Gate Tickets leur appartient. Live Nation et Ticketmaster défendent depuis des années leur mainmise sur le live au nom de l'échelle et de la sécurité, et c'est la même maison dont la fuite grand public a exposé des millions de personnes en 2024. La concentration a été vendue comme un gage de sûreté. Voici une plateforme de Live Nation qui faisait tourner le système d'entrée de presque tous les grands festivals américains sur du code portant une injection SQL non authentifiée. Carroll a signalé la faille le 25 avril, Front Gate l'a corrigée en un jour environ et affirme que rien n'indique qu'un tiers hostile l'ait trouvée avant. Le compte rendu public est sorti le 1er juillet.
Ce que ça change pour le dancefloor
Deux choses. D'abord, l'IA n'a rien piraté toute seule. Carroll la pilotait ; Claude a raccourci l'après-midi en trouvant le contournement du pare-feu qu'un humain aurait mis plus de temps à voir. Il travaille au sein du programme de chercheurs vérifiés d'Anthropic, qui, selon l'entreprise, aurait bloqué cette activité pour quiconque en dehors. Ensuite, quand une seule firme possède les tuyaux de presque tout le marché, un bug devient le bug de tout le monde. Le bracelet à ton poignet ne vaut que ce que vaut le point d'accès le moins audité derrière lui.



