L’Alliance suisse pour les transports publics, Swisspass, a connu une importante fuite de données. Près d’un million de jeux de données ont pu être téléchargés, selon un rapport de la radio et télévision suisse SRF. Les données se trouvent sur la plate-forme centrale de distribution « NOVA » (Netzweite ÖV-Anbindung) des transports publics, qui est exploitée par les Chemins de fer fédéraux suisses CFF sur mandat de l’Alliance SwissPass.

Comme les CFF viennent de le faire savoir, la sécurité pour le renouvellement des abonnements de transport via cette plateforme a été améliorée fin 2020. Comme les passagers de plusieurs entreprises de transports publics « ne pouvaient plus renouveler leur abonnement de manière simple », les CFF ont rétabli l’accès avec l’ancien mécanisme en décembre 2021. Mais cela a ouvert « un point faible ». Celle-ci a été comblée entre-temps, annoncent les CFF et Alliance SwissPass.

Fuite de données

Selon la SRF, un expert en sécurité informatique est tombé sur la faille début janvier 2022 et a pu, en quelques jours, consulter automatiquement 0,2 % de tous les enregistrements, ce qui correspond à environ un million d’enregistrements. Les données contenaient des informations sur les billets achetés et en partie sur la durée de validité des abonnements. Selon les CFF, près de la moitié des données étaient liées au nom, au prénom et à la date de naissance des clients des transports publics, mais ne contenaient pas d’informations sur le domicile, les moyens de paiement, les mots de passe ou les adresses e-mail. L’autre moitié des données comprenait des informations impersonnelles sur les billets achetés aux distributeurs automatiques, ont informé les CFF dans un communiqué.

L’informaticien a signalé la faille au groupe ferroviaire, qui l’a immédiatement comblée. « La consultation automatisée et non autorisée de données n’est plus possible. Les clientes et clients n’ont subi aucun dommage », indique le communiqué des CFF.

Dans l’émission « Rundschau » de la SRF, l’expert en sécurité informatique explique que l’exploitation de la faille n’a apparemment posé aucun problème. « Il n’est même pas nécessaire d’avoir des connaissances particulières. N’importe qui aurait pu le faire », a-t-il déclaré lors de l’interview à la SRF. « Les données sensibles étaient pratiquement publiques sur le réseau ».

Théoriquement, il serait possible d’établir un profil de déplacement des clients à l’aide de ces jeux de données, a expliqué le pirate à chapeau blanc à la SRF. Il a immédiatement rendu anonymes toutes les données personnelles et a entre-temps effacé de manière irréversible les données qu’il avait téléchargées. « Je ne suis pas un criminel. Je veux sensibiliser à la protection des données », explique-t-il à la SRF pour justifier son intrusion dans la base de données.

Nouvelles failles dans les bases de données

Dans la base de données récemment compromise, des informations sur les billets et les abonnements sont enregistrées à des fins de facturation. La boutique en ligne des CFF ainsi que les plates-formes de vente d’autres entreprises de transports publics sont reliées à la base de données. Les CFF ont immédiatement informé le Préposé fédéral à la protection des données et à la transparence et les entreprises de TP concernées. En outre, une enquête interne a été lancée afin de déterminer la cause de l’erreur. Les CFF et Alliance SwissPass présentent leurs excuses aux clients des TP, peut-on lire dans le communiqué.

Il y a quelques jours seulement, le répertoire de dons d’organes « Swisstransplant » a fait la une des journaux en raison de failles de sécurité. Sur la plateforme, il était possible d’inscrire en ligne n’importe quelle personne sans vérification d’identité.