Les utilisateurs des transports en commun le réclament depuis des années. C’est finalement un étudiant de l’Université McGill qui a réussi à programmer un logiciel permettant de recharger la carte OPUS en ligne directement avec son téléphone cellulaire.

Ce qu’il faut savoir

  • L’ARTM prévoit livrer un système de recharge mobile d’ici le « premier trimestre » 2024.
  • Un étudiant qui déplore que la mesure prenne trop de temps à s’implanter a choisi d’offrir un logiciel en ligne permettant de le faire.
  • À la demande de l’ARTM, l’étudiant a toutefois retiré son logiciel peu après.
  • Avec un système de recharge mobile, l’ARTM prévoit atteindre jusqu’à sept millions de transactions annuelles. Actuellement, c’est à peine 350 000.

Cette prouesse informatique survient alors que l’Autorité régionale de transport métropolitain (ARTM) vient d’accorder 1,13 million à l’entreprise parisienne Spirtech pour développer une application semblable. À la clé, le contrat prévoit des redevances versées sur chacune des quelque sept millions de transactions annuelles projetées pour l’achat de titres de transport sur mobile.

Le bout de code informatique pirate, programmé pour téléphone Android uniquement, a fait son apparition la semaine dernière sur GitHub, un forum de collaboration pour les programmeurs. La Presse a été en mesure de le tester, avec l’aide de son équipe de développement informatique, et de confirmer son fonctionnement.

L’ARTM a rapidement demandé à son auteur de le retirer de GitHub et a déclenché une « investigation de cybersécurité » afin d’évaluer « le risque et le potentiel de fraude de cette situation ». « L’ARTM ne recommande pas d’utiliser ce module », a indiqué l’organisation dans un courriel transmis à La Presse.

PHOTO FOURNIE PAR LA SOCIÉTÉ DE TRANSPORT DE MONTRÉAL

Un lecteur de carte à puce permettant la recharge en ligne

Le site transactionnel Opusenligne.ca, qui nécessite un lecteur de carte à puce branché à l’ordinateur, a été suspendu temporairement, vendredi, et fait l’objet de « vérifications préventives ».

« Lecteur de carte désuet »

Le logiciel a été développé par Alex Lai, un étudiant en génie logiciel de l’Université McGill. « Ça m’a pris en gros trois mois pour le programmer », indique M. Lai, qui a immédiatement obtempéré à la demande de l’ARTM de retirer le logiciel.

Son module permet d’acheter des titres de transport sur le site de la Société de transport de Montréal (STM) et de les transférer sur la carte OPUS sans contact. C’est le module de communication NFC (Near Field Communication) du téléphone cellulaire qui transfère par ondes radio les titres de transport vers la carte à puce. Il suffit de coller la carte OPUS sur son téléphone pour que l’opération se complète. C’est la même technologie qui permet, notamment, d’effectuer des paiements sans contact par carte de crédit dans les commerces grâce à ApplePay ou GooglePay.

Par comparaison, la technologie désuète par laquelle les utilisateurs de carte OPUS peuvent se procurer des titres de transport en ligne depuis 2015 nécessite la possession d’un lecteur de carte à puce bleue, que l’ARTM vendait au coût de 20 $, mais qui n’est plus offert depuis plusieurs mois. Le transfert de titres de transport avec ce dispositif était peu convivial et nécessitait l’utilisation d’un ordinateur.

Je ne comprends pas pourquoi ça leur a pris huit ans pour commencer à développer une solution sans contact, alors que la technologie NFC se trouve sur presque tous les téléphones cellulaires. Ma motivation était de créer une solution qui ne nécessite pas l’achat de ce lecteur de carte désuet.

Alex Lai

L’ARTM travaille depuis plusieurs mois à développer une solution utilisant cette technologie sans contact. L’organisme a testé un premier prototype à l’automne 2021 avec 1674 utilisateurs. Mais le déploiement de la technologie dans la région métropolitaine de Montréal, ainsi qu’à Québec, à Lévis et dans la MRC de Joliette, n’est pas prévu avant 2024.

Des documents d’un appel d’offres conclu en juin dernier indiquent que « la possibilité d’acheter des titres de transport avec son téléphone intelligent est de loin la fonctionnalité la plus attendue de la clientèle ». Un sondage effectué par l’ARTM en 2022 montre que 95 % des répondants ont dit qu’ils utiliseraient certainement ou probablement une telle application. « La clientèle souhaite depuis longtemps pouvoir acheter ses titres de transport via son téléphone intelligent », lit-on dans le devis d’appel de soumissions.

Redevances sur transaction

Avec le système d’achat en ligne actuel, l’ARTM affirme qu’elle n’enregistre que 350 000 transactions par année. L’organisme prévoit dans son appel d’offres que le nombre de transactions explosera avec l’achat sur mobile, atteignant une fourchette de cinq à sept millions de transactions par année.

C’est le développeur du logiciel qui sera responsable d’exploiter les serveurs de vente, indique l’ARTM. Le montant de la redevance versée pour chaque transaction « afin d’opérer le serveur des ventes » n’a pas été dévoilé. En cas de panne du système, l’ARTM spécifie qu’elle retiendra 2 % des frais mensuels pour chaque heure d’inactivité.

« Le fournisseur reçoit un montant forfaitaire pour l’intégration du logiciel, et un montant à la transaction afin d’opérer le serveur de ventes », a précisé l’Autorité lorsque questionnée à ce sujet, sans s’avancer davantage.

Une source de l’industrie qui a requis l’anonymat parce qu’elle n’est pas autorisée à révéler des informations d’affaires confidentielles affirme que les redevances de ce type peuvent représenter des revenus considérables. « L’entreprise qui a obtenu le contrat risque de devenir du jour au lendemain le principal fournisseur de titres de transport. Nous évaluons qu’il remplacera 80 % des détaillants, comme les pharmacies et les dépanneurs, qui vendent des billets », dit cette source.

L’équipe de marketing de l’ARTM consacrera un « budget promotionnel significatif pour le faire connaître lorsqu’il sera disponible », souligne l’appel d’offres.

Un risque limité

Au-delà du risque, l’ARTM rappelle que le serveur de transaction de vente de son système « est en train d’être conçu selon les nouvelles normes bancaires qui doivent entrer en vigueur l’an prochain en 2024 ».

« Le lancement d’un nouveau produit comme celui-ci implique également la mise en place d’un service à la clientèle adéquat », justifie l’organisme en réponse à nos questions sur les délais d’implantation.

Selon l’expert en sécurité informatique Jean Loup Le Roux, l’apparition du logiciel programmé sans autorisation explicite par M. Lai ne signifie pas que la technologie utilisée pour les cartes OPUS est à risque. « C’est une technologie dont il est difficile d’abuser. Ça demeure impossible de forger des crédits sans posséder les clés de signature », résume-t-il.

Toutefois, il n’est pas impossible que des individus mal intentionnés prennent le logiciel de M. Lai et y ajoutent des lignes de code qui contiendraient un « mouchard » qui collecte des données bancaires saisies par l’utilisateur au moment de la transaction. « Si cette version modifiée commençait à se répandre, oui, on pourrait avoir un problème », indique M. Le Roux.