Mise à jour: les CFF mettent trois ans à colmater la fuite de données
Un expert informatique a identifié une faille sur une plateforme des CFF. Il a pu accéder aux données de quelque 500’000 clients du Swisspass. On apprend aujourd'hui que les chemins de fer étaient au courant de la faille de sécurité depuis 2018.
Mise à jour du 19.8.2022: Les Chemins de fer fédéraux suisses (CFF) ont mis plus de trois ans à combler une faille. C'est ce que rapporte le "Blick", qui s'appuie sur ses propres recherches et sur des documents internes aux CFF. Selon ces documents, des spécialistes informatiques auraient attiré l'attention des CFF sur la faille de sécurité dès mars 2018 - trois ans et demi avant que les chemins de fer ne colmatent définitivement la fuite de données. Un autre signalement, cette fois par un spécialiste externe, a eu lieu en janvier 2020, mais le groupe serait à nouveau resté sans réagir. Ce n'est qu'après les recherches d'un hacker éthique, publiées dans les médias, que la compagnie ferroviaire a définitivement colmaté la brèche de sécurité.
"Plusieurs facteurs ont été décisifs, au début il y avait une erreur d'appréciation", explique le porte-parole de Swisspass Reto Hügli dans l'article pour expliquer la débâcle. "Les CFF ont maintenant pris les mesures adéquates pour que la conscience de la sécurité et la gestion des risques soient encore renforcées. Grâce à des processus optimisés, il est possible de réagir plus rapidement en cas de risques découverts".
News originale du 24 janvier 2022. Il met la main sur un million de données des clients du Swisspass
Une faille de sécurité dans un système de réservation exploité par les Chemins de fer fédéraux (CFF) est à l’origine d’une énorme fuite de données. L’émission Rundschau de la SRF a rapporté qu’un expert informatique, dont l'identité n’est pas divulguée, est parvenu à télécharger les données de quelque 500’000 clients du Swisspass. Aucune connaissance technique n'était nécessaire, selon la SRF. Les données contenaient le nom des clients, leur date de naissance, le nombre de billets achetés en première ou deuxième classe ainsi que le lieu de départ et d'arrivée. De quoi théoriquement permettre d'établir un profil de déplacement des usagers.
Faille de sécurité comblée
Dans une prise de position, les CFF expliquent le contexte du problème. La faille identifiée concerne la plateforme centrale de distribution NOVA des transports publics. que les CFF opèrent sur mandat de l'Alliance SwissPass. Les informations relatives aux billets et aux abonnements sont enregistrées dans cette base de données à des fins de facturation. «A la fin 2020, les CFF ont renforcé la sécurité du processus de renouvellement des abonnements via cette plate-forme. Comme les clientes et clients de plusieurs entreprises de transports publics ne pouvaient plus renouveler leur abonnement de manière simple, les CFF ont rétabli l’accès avec l’ancien mécanisme en décembre 2021. Cette décision s’est révélée malheureuse: elle a créé une faille de sécurité», lit-on dans le communiqué.
Les données téléchargées par l'expert en informatique représentent 0,2% de tous les blocs de données de la plateforme, ce qui correspond à environ un million de blocs. Les données récupérées ne contenaient aucune information sur le lieu de résidence, les moyens de paiement, les mots de passe ou les adresses e-mail.
Grâce à l'annonce de l'informaticien, l’entreprise a pu combler immédiatement la faille. «La consultation automatisée non autorisée des données n’est plus possible. La clientèle n’a subi aucun préjudice», indique le communiqué.
Le préposé fédéral à la protection des données et à la transparence (PFPDT) a été immédiatement informé, tout comme les entreprises de transports publics concernées. En outre, une enquête interne a été lancée pour déterminer la cause de l'erreur.
