Sécurité : à la SNCF, un bug peut en cacher un autre

Au lendemain d'une erreur sur son site sncf.fr qui a vu la société annoncer une catastrophe ferroviaire imaginaire, la SNCF refait la une aujourd'hui à la suite d'une faille sur son site de fidélisation voyageurs qui, selon le Canard enchainé, rendait accessible en quelques clics les coordonnées de ses passagers fidélisés. En 2008, déjà, suite à un audit de sécurité interne et à l'envoi d'un mailing malheureux, nous avions pointé du doigt la légèreté avec laquelle la société gérait les données de son programme Grand Voyageur.

 grandvoyageur
Le site Grand Voyageur de la SNCF,
ce 17 mars (cliquer ici pour agrandir)

En septembre 2008, déjà, nous pointions la légéreté avec laquelle la SNCF gérait les données de fidélisation de ses passagers dans un article intitulé "Pas de problèmes de sécurité... ou presque" . L'article faisait suite à une série de pannes et de défaillances du site de réservation en ligne de la société des chemins de fer et à la publication d'un rapport interne de l'audit sur les risques liés à la sécurisation des données voyageurs.

Les données des passagers fidélisés accessibles en quelques clics.

Deux ans après, le risque semble avéré. Au lendemain d'une boulette qui a vu le site sncf.fr annoncer une catastrophe ferroviaire inexistante, nos confrères du Canard enchaîné révèlent ainsi qu'un hacker aurait contacté la société pour la prévenir d'une faille sur son site de fidélisation passager (programme Grand Voyageur), une faille qui permettrait en quelques clics d'accéder aux données confidentielles de ces millions de clients titulaires d'une carte de fidélité. Les noms, dates de naissance et coordonnées des clients seraient ainsi accessibles à toute personne exploitant la faille. Une accumulation de boulettes qu'un informaticien de la DSIT (Direction des systèmes d'information et des télécommunications, un des principaux services informatiques internes) attribue à la politique "laxiste" de la société en matière de sécurité.

Et le Canard de rappeler qu'en juin 2008, "la Direction de l'audit et des risques avait pondu une note confidentielle alarmante (...). Les experts maison s'inquiétaient d'un possible détournement des données de fidélisation voyageurs". Pas de quoi s'inquiéter, selon la SNCF, qui précise que la faille a été promptement corrigée hier. La société rappelle aussi que le document rédigé par sa Direction de l'audit et des risques (DAR) imaginait "sept scénarios-catastrophes", par nature hypothétiques, dont l'objectif était de permettre à la société de se prémunir contre les risques d'attaque contre ses infrastructures informatiques.

Veuillez personaliser votre code secret...

Histoire de noyer un peu plus le poisson, la SNCF explique au Canard que "les données bancaires ne sont pas stockées sur Voyages-sncf.com, mais envoyées à Atos, système qui autorise des transactions sécurisées pour 20 000 sites de e-commerce dans le monde. Aucune faille n'a jamais été détectée sur ce système de paiement". Sauf que la gestion du programme de fidélisation n'a rien à voir avec Voyages-SNCF et s'effectue séparèment.

En nous connectant ce matin sur le site Grand Voyageur de la SNCF, nous avons été invités à "personnaliser notre code secret". Quant à savoir si cette initiative à quelque chose à voir avec la faille signalée à la SNCF...

Pour approfondir sur Menaces, Ransomwares, DDoS

Close