Sécurité : à la SNCF, un bug peut en cacher un autre 

Le 17 mars 2010 (11:41) - par La rédaction

Imprimer Envoyer par e-mail

Rubriques : Sécurité - Menaces informatiques Tags : securite - faille - sncf

Au lendemain d'une erreur sur son site sncf.fr qui a vu la société annoncer une catastrophe ferroviaire imaginaire, la SNCF refait la une aujourd'hui à la suite d'une faille sur son site de fidélisation voyageurs qui, selon le Canard enchainé, rendait accessible en quelques clics les coordonnées de ses passagers fidélisés. En 2008, déjà, suite à un audit de sécurité interne et à l'envoi d'un mailing malheureux, nous avions pointé du doigt la légèreté avec laquelle la société gérait les données de son programme Grand Voyageur.
 grandvoyageur
Le site Grand Voyageur de la SNCF,
ce 17 mars (cliquer ici pour agrandir)

En septembre 2008, déjà, nous pointions la légéreté avec laquelle la SNCF gérait les données de fidélisation de ses passagers dans un article intitulé "Pas de problèmes de sécurité... ou presque" . L'article faisait suite à une série de pannes et de défaillances du site de réservation en ligne de la société des chemins de fer et à la publication d'un rapport interne de l'audit sur les risques liés à la sécurisation des données voyageurs.

Les données des passagers fidélisés accessibles en quelques clics.

Deux ans après, le risque semble avéré. Au lendemain d'une boulette qui a vu le site sncf.fr annoncer une catastrophe ferroviaire inexistante, nos confrères du Canard enchaîné révèlent ainsi qu'un hacker aurait contacté la société pour la prévenir d'une faille sur son site de fidélisation passager (programme Grand Voyageur), une faille qui permettrait en quelques clics d'accéder aux données confidentielles de ces millions de clients titulaires d'une carte de fidélité. Les noms, dates de naissance et coordonnées des clients seraient ainsi accessibles à toute personne exploitant la faille. Une accumulation de boulettes qu'un informaticien de la DSIT (Direction des systèmes d'information et des télécommunications, un des principaux services informatiques internes) attribue à la politique "laxiste" de la société en matière de sécurité.

Et le Canard de rappeler qu'en juin 2008, "la Direction de l'audit et des risques avait pondu une note confidentielle alarmante (...). Les experts maison s'inquiétaient d'un possible détournement des données de fidélisation voyageurs". Pas de quoi s'inquiéter, selon la SNCF, qui précise que la faille a été promptement corrigée hier. La société rappelle aussi que le document rédigé par sa Direction de l'audit et des risques (DAR) imaginait "sept scénarios-catastrophes", par nature hypothétiques, dont l'objectif était de permettre à la société de se prémunir contre les risques d'attaque contre ses infrastructures informatiques.

Veuillez personaliser votre code secret...

Histoire de noyer un peu plus le poisson, la SNCF explique au Canard que "les données bancaires ne sont pas stockées sur Voyages-sncf.com, mais envoyées à Atos, système qui autorise des transactions sécurisées pour 20 000 sites de e-commerce dans le monde. Aucune faille n'a jamais été détectée sur ce système de paiement". Sauf que la gestion du programme de fidélisation n'a rien à voir avec Voyages-SNCF et s'effectue séparèment.

En nous connectant ce matin sur le site Grand Voyageur de la SNCF, nous avons été invités à "personnaliser notre code secret". Quant à savoir si cette initiative à quelque chose à voir avec la faille signalée à la SNCF...

livres blancs avec LesSourcesIT.fr

Démystifier les mythes sur le 10Gigabit Ethernet

Alors que le 10Gigabit Ethernet (GbE) est largement disponible depuis plusieurs, la technologie et encore nouvelle pour …


Protéger votre investissement et améliorer l’élasticité du réseau

Comment prendre en charge les évolutions imprévisibles du trafic applicatif tout en maintenant strictement les niveaux…

vues 1473 lectures commentaire 3 commentaire(s) recommandation notez cet article
3
Les commentaires

Réagissez à cet article

Votre Pseudo

Commentaire

Pertinence du commentaire : 5
Par Gourmet
 Le 17/03/2010 à 13:12
Sur le site de voyages-sncf.com il est bien indiqué que :
"Nous vous garantissons la stricte protection de vos données personnelles, en conformité avec la loi en vigueur"

Dans quelle mesure peut-on porter plainte pour information mensongère et non-respect du client ?

db
Noter ce commentaire
Pertinence du commentaire : 4
Par Gg
 Le 17/03/2010 à 14:44
Bonjour,
Si vous aviez vérifié avant de publier vos articles, la modification du mot de passe sur les sites fidélisations, a été mis en place depuis un moment maintenant.
C'est beau d'en rajouter une couche mais faut-il encore se renseigner
Noter ce commentaire
Pertinence du commentaire : 2
Par La rédaction
 Le 17/03/2010 à 16:15
D'où la question finale : "quant à savoir si cette initiative à quelque chose à voir avec la faille signalée à la SNCF..." Nos sources et contacts habituels à la SNCF et à la DSIT étaient en effet soit injoignables soit pas en mesure de s'exprimer sur le sujet ou de nous fournir plus d'informations.
Noter ce commentaire
Toute l'actualité
Aujourd'hui rss Sur le même
sujet Du même
auteur
publicité
Les plus populaires
Les plus lus Les mieux
notés Les plus
commentés
publicité
Les dossiers du MagIT
Tous les dossiers du MagIT...

Security Connected : Optimisez votre entreprise - Les dix grands thèmes de la sécurité que doit maîtriser tout dirigeant d'entreprise


Les entreprises sont en perpétuelle évolution. Selon une étude récente de Gartner, le rôle des directeurs informatiques évolue lui aussi : jusque-là gestionnaires des ressou…

Guide en 10 étapes pour l’achat d’une solution CRM adaptée


Le processus d'acquisition d'une solution CRM est différent de la procédure classique suivie pour les achats informatiques. Dans la mesure où la gestion de la relation client to…
livres blancs avec LesSourcesIT.fr
Recevez les newsletters du MagIT
L'essentiel IT : L'actu IT au quotidien
événements

Etat du monde IT 2011

1 2 3 4 5   
Sans frontière

Presse IT

Evénements

blogs

Presse

Click Here