Deux sociétés zurichoises exposent des données d’automobilistes dans toute la Suisse
Les bases de données de deux sociétés suisses de surveillance de parkings étaient accessibles sur Internet sans protection. Parmi les informations exposées figuraient des données sensibles concernant des automobilistes accusés d’infractions de stationnement, auxquels ces entreprises réclamaient des indemnités pour frais administratifs. Des personnes issues de toute la Suisse pourraient être concernées.
Les sociétés suisse de surveillance de parkings Funkwache et Unisecur n’ont pas suffisamment sécurisé leurs bases de données. Des tiers ont ainsi pu accéder sur Internet à des données personnelles sensibles concernant des dizaines de milliers d’automobilistes, révèle une enquête de Watson. Selon le portail d’information, les deux entreprises ont reconnu l’existence de «failles», tout en minimisant la portée de l’incident sur le plan de la sécurité.
Des bases de données accessibles sans protection
Funkwache SA, basée à Zurich, et Unisecur Sàrl, installée à Kollbrunn (ZH), proposent des services de surveillance de parkings privés. Lorsqu’une personne stationne sans autorisation, ces sociétés réclament, pour le compte des propriétaires fonciers, des «indemnités pour frais administratifs» ou déposent, le cas échéant, une plainte pénale. Les deux entreprises utilisaient le même logiciel pour gérer ces dossiers. Celui-ci contenait notamment des informations sur les automobilistes concernés, y compris des données bloquées de détenteurs de véhicules obtenues contre paiement auprès des services cantonaux des automobiles.
Or, toujours selon Watson, cet outil n’était plus mis à jour depuis plusieurs années et laissait les données accessibles sur Internet sans protection par mot de passe. Il fallait certes connaître un numéro de port précis pour accéder au système, mais celui-ci pouvait être identifié facilement à l’aide d’outils de recherche automatisés. Les bases de données ne sont désormais plus accessibles, mais les informations sont restées exposées pendant au moins un mois. Une source spécialisée en informatique citée par le média en ligne estime toutefois que l’accès pourrait avoir existé depuis 2020.
Les bases de données contenaient des centaines de milliers d’entrées relatives à des personnes ayant stationné sans autorisation sur les parkings des clients des deux sociétés. Parmi les données enregistrées figuraient des noms, des adresses postales, des numéros de téléphone, des adresses e-mail ainsi que des informations sur les véhicules. Les fichiers contenaient également des indications précises sur les lieux et les horaires des infractions, ainsi que des informations relatives à l’état des procédures pénales. Selon Watson, des automobilistes issus des 26 cantons seraient concernés, avec une forte proportion dans le canton de Zurich.
Données sensibles confirmées, risque minimisé par les entreprises
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a confirmé au média en ligne que certaines des données mentionnées relèvent des données personnelles sensibles. Peu importe à cet égard que des tiers aient effectivement accédé ou non à la base de données: la situation reste problématique tant qu’un «accès non autorisé» ne peut pas être exclu, ce qui serait le cas ici.
Les deux entreprises minimisent toutefois les risques. «Pour identifier ces failles, il faut des connaissances approfondies en informatique et en programmation», déclare à Watson Claudia Byell, directrice d’Unisecur. «Pour nous, il est clair qu’il y a eu une recherche ciblée. Un utilisateur ordinaire n’aurait pas pu découvrir ces failles.» Un expert en cybersécurité consulté par le média en ligne conteste toutefois cet argument et qualifie l’incident d’«erreur classique et grossière de sécurité informatique».
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
