Sécurité : à la SNCF, un bug peut en cacher un autre 

Le 17 mars 2010 (11:41) - par La rédaction

Imprimer Envoyer par e-mail

Rubriques : Sécurité - Menaces informatiques Tags : securite - faille - sncf

Au lendemain d'une erreur sur son site sncf.fr qui a vu la société annoncer une catastrophe ferroviaire imaginaire, la SNCF refait la une aujourd'hui à la suite d'une faille sur son site de fidélisation voyageurs qui, selon le Canard enchainé, rendait accessible en quelques clics les coordonnées de ses passagers fidélisés. En 2008, déjà, suite à un audit de sécurité interne et à l'envoi d'un mailing malheureux, nous avions pointé du doigt la légèreté avec laquelle la société gérait les données de son programme Grand Voyageur.
 grandvoyageur
Le site Grand Voyageur de la SNCF,
ce 17 mars (cliquer ici pour agrandir)

En septembre 2008, déjà, nous pointions la légéreté avec laquelle la SNCF gérait les données de fidélisation de ses passagers dans un article intitulé "Pas de problèmes de sécurité... ou presque" . L'article faisait suite à une série de pannes et de défaillances du site de réservation en ligne de la société des chemins de fer et à la publication d'un rapport interne de l'audit sur les risques liés à la sécurisation des données voyageurs.

Les données des passagers fidélisés accessibles en quelques clics.

Deux ans après, le risque semble avéré. Au lendemain d'une boulette qui a vu le site sncf.fr annoncer une catastrophe ferroviaire inexistante, nos confrères du Canard enchaîné révèlent ainsi qu'un hacker aurait contacté la société pour la prévenir d'une faille sur son site de fidélisation passager (programme Grand Voyageur), une faille qui permettrait en quelques clics d'accéder aux données confidentielles de ces millions de clients titulaires d'une carte de fidélité. Les noms, dates de naissance et coordonnées des clients seraient ainsi accessibles à toute personne exploitant la faille. Une accumulation de boulettes qu'un informaticien de la DSIT (Direction des systèmes d'information et des télécommunications, un des principaux services informatiques internes) attribue à la politique "laxiste" de la société en matière de sécurité.

Et le Canard de rappeler qu'en juin 2008, "la Direction de l'audit et des risques avait pondu une note confidentielle alarmante (...). Les experts maison s'inquiétaient d'un possible détournement des données de fidélisation voyageurs". Pas de quoi s'inquiéter, selon la SNCF, qui précise que la faille a été promptement corrigée hier. La société rappelle aussi que le document rédigé par sa Direction de l'audit et des risques (DAR) imaginait "sept scénarios-catastrophes", par nature hypothétiques, dont l'objectif était de permettre à la société de se prémunir contre les risques d'attaque contre ses infrastructures informatiques.

Veuillez personaliser votre code secret...

Histoire de noyer un peu plus le poisson, la SNCF explique au Canard que "les données bancaires ne sont pas stockées sur Voyages-sncf.com, mais envoyées à Atos, système qui autorise des transactions sécurisées pour 20 000 sites de e-commerce dans le monde. Aucune faille n'a jamais été détectée sur ce système de paiement". Sauf que la gestion du programme de fidélisation n'a rien à voir avec Voyages-SNCF et s'effectue séparèment.

En nous connectant ce matin sur le site Grand Voyageur de la SNCF, nous avons été invités à "personnaliser notre code secret". Quant à savoir si cette initiative à quelque chose à voir avec la faille signalée à la SNCF...

livres blancs avec LesSourcesIT.fr

Sécuriser les terminaux mobiles des utilisateurs dans l’entreprise

Les appareils mobiles, tels que les smartphones et les tablettes tactiles, permettent à un nombre croissant d’employ…


L’efficacité opérationnelle et la réduction des coûts grâce à une approche intégrée de la veille sécuritaire

La mise en place d’un programme de veille sécuritaire efficace au sein d’une organisation n’est pas à prendre à…

vues 1533 lectures commentaire 3 commentaire(s) recommandation notez cet article
3
Les commentaires

Réagissez à cet article

Votre Pseudo

Commentaire

Pertinence du commentaire : 5
Par Gourmet
 Le 17/03/2010 à 13:12
Sur le site de voyages-sncf.com il est bien indiqué que :
"Nous vous garantissons la stricte protection de vos données personnelles, en conformité avec la loi en vigueur"

Dans quelle mesure peut-on porter plainte pour information mensongère et non-respect du client ?

db
Noter ce commentaire
Pertinence du commentaire : 4
Par Gg
 Le 17/03/2010 à 14:44
Bonjour,
Si vous aviez vérifié avant de publier vos articles, la modification du mot de passe sur les sites fidélisations, a été mis en place depuis un moment maintenant.
C'est beau d'en rajouter une couche mais faut-il encore se renseigner
Noter ce commentaire
Pertinence du commentaire : 2
Par La rédaction
 Le 17/03/2010 à 16:15
D'où la question finale : "quant à savoir si cette initiative à quelque chose à voir avec la faille signalée à la SNCF..." Nos sources et contacts habituels à la SNCF et à la DSIT étaient en effet soit injoignables soit pas en mesure de s'exprimer sur le sujet ou de nous fournir plus d'informations.
Noter ce commentaire
Toute l'actualité
Aujourd'hui rss Sur le même
sujet Du même
auteur
publicité
Les plus populaires
Les plus lus Les mieux
notés Les plus
commentés
publicité
Les dossiers du MagIT
Tous les dossiers du MagIT...

Les économies de stockage à travers une architecture unifiée


Beaucoup d’organisations ont fait le choix du stockage « unifié » à travers les systèmes Multiprotocol storage systems (MPS). Avec la croissance exponentielle du nombre de d…

Virtualisation : bénéfices, défis et solutions


Alors qu’il existe différentes voies en matière de virtualisation ce document se concentre sur 3 approches : serveurs, postes de travail et appliances. L’un des motifs de cet…
livres blancs avec LesSourcesIT.fr
Recevez les newsletters du MagIT
L'essentiel IT : L'actu IT au quotidien
événements

TechDays 2012 : développeurs et projets en avant

1 2 3 4 5   
Sans frontière

Presse IT

Evénements

blogs

Presse

Click Here