Les CFF ont négligé les données de leurs clients

Image d'illustration. | Keystone / Salvatore Di Nolfi

Ce sont des révélations dont les CFF se seraient bien passés. Blick indique que la compagnie ferroviaire était au courant depuis plus de trois ans de l’existence d’une faille liée à une plateforme de distribution qu’elle exploite. Or, en janvier, l’entreprise s’est fait voler un million de données appartenant à sa clientèle. Heureusement pour les CFF, l’opération a été réalisée par un hacker éthique. Les données téléchargées ont été effacées et la vulnérabilité a pu être corrigée.

Pourquoi c’est problématique. Comme le mentionne le journal alémanique, les CFF ont été mis au courant de l’existence de la faille en mars 2018. Des spécialistes avaient attiré l’attention de l’ancienne régie fédérale en interne, mais rien n’a été fait. Rebelote en janvier 2020, avec une nouvelle mise en garde, cette fois-ci de la part d’un expert externe.

Les CFF ont introduit en novembre 2020 un nouveau mécanisme de sécurité sur leur plateforme. Mais la faille de sécurité était toujours présente en novembre 2021. En l’occurrence, cette vulnérabilité était liée à un lien qui permettait aux entreprises de transport d’accéder à Nova, la plateforme de distribution que les CFF exploitent dans le cadre de l’alliance Swisspass, pour prolonger les abonnements de leurs clients.

En novembre 2021, le lien vulnérable a été désactivé. Mais rapidement, un nouveau problème survient: les prestataires de transports publics peinent à renouveler les abonnements de leurs clients avec le nouveau lien. Les CFF décident en décembre 2021 de réactiver le précédent, malgré les risques qui étaient connus.

Une négligence difficile à justifier. Après avoir communiqué en janvier le vol des données clients réalisé par un hacker éthique, les CFF ont réalisé une opération de communication sur leur portail d’information, relève Blick, pour vanter la manière dont la compagnie ferroviaire s’engage pour traiter les données sensibles de leurs clients. Une image aujourd’hui mise à mal par les révélations du quotidien alémanique. L’absence de réaction des CFF pendant plusieurs années interpelle.

Pour Otto Hostettler, expert en cybercriminalité et journaliste au Beobachter, explique à Blick ce qu'un hacker peut faire avec de telles données:

«De telles données sont très recherchées par les criminels sur la toile. Elles peuvent être associées à des données provenant d'autres vols, être affinées et ensuite utilisées pour des attaques de phishing».

Une politique de collecte des données qui fait débat. Depuis l’introduction du Swisspass, les CFF enregistrent et conservent pendant 90 jours les données de contrôle de l’abonnement général et du demi-tarif, rappelait la RTS. Cela signifie que lorsqu’un client est contrôlé, son nom, le train dans lequel il voyage, la ligne empruntée et le jour du trajet sont collectés. La compagnie ferroviaire affirme que ces données ne sont pas utilisées à des fins marketing, mais plusieurs experts estiment depuis plusieurs années que l’entreprise collecte de manière générale plus d’informations qu’elle n’en a besoin pour fournir ses services.

link

A lire sur Blick