Officiellement la SNCF n'a pas de problèmes de sécurité. Ses données sont protégées, son site web Voyages-SNCF est blindé et les pratique de sécurité des sites web maison sont au fait de l'art. Alors une simple question vient à l'esprit. Pourquoi dans son dernier mail aux abonnés grand voyageurs la SNCF envoie-t-elle un lien de consultation de compte contenant en clair l'ensemble des login et mot de passe nécessaire pour se connecter ?
"Votre relevé de s'miles se met au vert" indique le message en question. On aurait surtout aimé qu'il reste au placard. Car non content de fournir le numéro grand voyageur de l'abonné, il contient aussi le mot de passe de connexion en clair dans le lien joint, de quoi permettre à un individu mal intentionné, qui intercepterait le mail ou aurait un accès illégitime sur le PC du destinataire, d'accéder à l'ensemble des informations personnelles de l'abonné (adresse, téléphone privé...), mais aussi éventuellement d'utiliser ses authentifiants pour réserver un billet de train.
En ces temps ou abondent les techniques de hacks, les chevaux de Troie et autres joyeusetés, c'est au mieux un oubli, au pire un aveu d'incompétence noire, qui peut permettre de douter des pratiques de sécurité tant vantée par notre transporteur ferroviaire favori. Il y a des jours où l'on aimerait que ses services Internet fonctionnent aussi bien que ses TGV...
Par OWASP
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Tous les services du MagIT sur