SuisseFaille de sécurité sur la plateforme de vente des transports publics
Début 2022, les CFF ont été prévenus d’une fuite de données sur la plateforme NOVA. Ils y ont immédiatement remédié. «La clientèle n’a subi aucun préjudice»
Une partie des données ayant fuité concernaient des données impersonnelles liées aux billets achetés au distributeur.
Laurent CrottetAu début de l’année, les CFF ont constaté une fuite de données sur la plateforme de distribution des transports publics, NOVA. Cette plateforme est exploitée par les CFF sur mandat de l’Alliance SwissPass. Fin 2020, ils avaient renforcé la sécurité du processus de renouvellement des abonnements via NOVA. «Comme les clients de plusieurs entreprises de transports publics ne pouvaient plus renouveler leur abonnement de manière simple, les CFF ont rétabli l’accès avec l’ancien mécanisme en décembre 2021», explique un communiqué de presse. Une décision jugée malheureuse car elle a créé une faille de sécurité.
«Un spécialiste externe en informatique a découvert cette faille et a pu, début janvier 2022 et en l’espace de quelques jours, consulter automatiquement 0,2% de tous les blocs de données, ce qui correspond à environ un million de blocs», explique le communiqué.
Environ la moitié de ces blocs de données étaient «exclusivement liés au nom, au prénom et à la date de naissance des clientes et clients des transports publics et ne contenaient aucune information sur le lieu de résidence, les moyens de paiement, les mots de passe ou les adresses électroniques», détaille le communiqué. L’autre moitié ne contenait que des données impersonnelles liées aux billets achetés au distributeur.
«Aucun préjudice»
Le spécialiste, qui a déclaré à «SRF News» qu’il n’était «même pas nécessaire d’avoir une expertise particulière. Tout le monde aurait pu le faire car les données sensibles étaient pratiquement en ligne», a signalé la faille aux CFF. Il a aussi effacé «de manière irréversible» les données qu’il avait téléchargées. Les CFF ont immédiatement remédié à cette faille de sécurité et assurent que «la consultation automatisée non autorisée des données n’est plus possible» et que «la clientèle n’a subi aucun préjudice».
Le préposé fédéral à la protection des données et à la transparence et les entreprises de transports publics concernées ont été prévenus. Une enquête interne est en cours pour déterminer les causes exactes de la faille de sécurité.