Faille de sécurité sur le portail clients de CarPostal
Une faille de sécurité a été découverte sur le portail clients ticketcontrol.ch, exploité par CarPostal. Il était possible de consulter et de télécharger des documents, concernant notamment des resquilleurs, sans disposer de grandes connaissances techniques. La faille aurait déjà été comblée.
Le portail clients ticketcontrol.ch, exploité par CarPostal, présente des problèmes de sécurité. Selon les recherches de l’équipe d'investigation de la SRF, il est facile de consulter et de télécharger sur internet les documents du registre des resquilleurs, base de données associée au portail ticketcontrol.ch. Aucune connaissance spécialisée ne serait nécessaire pour exploiter cette faille.
Le PFPDT recherche d'autres lacunes
Le registre des resquilleurs sert à identifier plus rapidement les resquilleurs notoires. Après avoir été informé par les équipes de la SRF, CarPostal a corrigé la faille dans le portail client et supprimé les données non protégées. Le Préposé fédéral à la protection des données (PFPDT) Adrian Lobsiger examine actuellement la faille de sécurité et veut déterminer s'il existe d'autres défauts.
«De manière générale, le nombre croissant d'attaques réussies contre des systèmes informatiques montre que les exploitants doivent consacrer davantage de ressources à une exploitation sûre. C'est précisément pour les systèmes présentant un risque accru pour les personnes concernées que des audits externes réguliers devraient être effectués», a confié le PFPDT à la SRF. Avec les cyberattaques en augmentation en Suisse, le PFPDT a de quoi s'occuper… Récemment, il a par exemple ouvert une procédure d’établissement des faits au sujet des lacunes du registre national du don d'organes Swisstransplant en matière de sécurité et de protection des données.
