Les données des abonnés SNCF mal sécurisées sur internet

Après l'erreur de manipulation d'hier, qui a abouti à l'annonce d'une fausse explosion mortelle dans un TGV sur le site sncf.com (lire notre article), Le Canard Enchaîné en remet une couche ce matin. Cette fois, c'est le site commercial qui est visé. C'est ni plus ni moins que le plus gros site commercial de France avec 55 millions de billets vendus, et selon Le Canard, c'est un gruyère.

Le site compte des millions d'abonnés, à tous les programmes de fidélité de la SNCF (seniors, 12-25 ans, Grand voyageur etc...). Et leurs données personnelles sont très mal sécurisées. En quelques minutes, un hacker (pirate informatique), a réussi à obtenir des noms, adresses, âges, téléphones etc... par centaines. Tout à l'exception heureusement des coordonnées bancaires, qui elles, semblent correctement verrouillées. Bon prince, le pirate a prévenu la SNCF de la faille au lieu de revendre les fichiers personnels. Un juteux marché, puisque chaque fiche voyageur peut être valorisée entre 8 et 20 euros selon les calculs de l'hebdomadaire.

FAILLE INFORMATIQUE DEJA CONNUE

Pour réaliser la manipulation, il suffit de posséder le numéro de n'importe quel abonné. L'opération, sans être à la portée du grand public, est apparemment simple à réaliser pour toute personne ayant quelques connaissances en informatique.

Le journal nous rappelle que cette faille était qui plus est connue de la SNCF depuis juin 2008. Une note confidentielle de la direction de l'audit et des risques s'inquiétait, entre autres, d'un possible “détournement des données de fidélisation voyageurs”. Et la note n'a pas coulé en silence vers les abysses d'une pile de paperasses, puisque le Canard Enchaîné, déjà, en a fait ses délices en août 2009. Pourtant, la SNCF n'a rien fait depuis pour boucher le trou. Elle se retrouve donc obligée aujourd'hui de le faire en urgence. Ses informaticiens ont passé une nuit blanche pour tenter de colmater la brèche, en attendant une refonte complète du site en avril.