Trafic ferroviaire

Un million de données a fuité sur la plateforme de vente de billets

bu, ats

24.1.2022 - 11:53

Une faille liée à la plateforme de vente de billets pour les transports publics a entraîné la fuite d'environ un million de données. Entretemps la fuite a été colmatée, ont indiqué lundi les CFF et Alliance Swisspass. Les clients n'ont subi aucun dommage.

A train conductor of the Swiss Federal Railways checks a passenger's Swiss Pass on a train travelling from Zurich to Lucerne, Switzerland, on March 20, 2017. (KEYSTONE/Christian Beutler)
Près d'un million de données ont été siphonnées sur la plateforme de vente de billets pour les transports publics en raison d'une faille. (image d'illustration)
KEYSTONE

bu, ats

24.1.2022 - 11:53

La plateforme centrale de distribution Nova (Netzweite ÖV-Anbindung) des transports publics est concernée. Elle est exploitée par les CFF sur mandat d'Alliance Swisspass.

Informé depuis l'extérieur

Les CFF et Alliance Swisspass ont été informés de la fuite par un spécialiste informatique externe. Celui-ci aurait réussi à consulter en quelques jours en janvier environ un million de données.

Cela correspond à 0,2% de tous les enregistrements, peut-on lire dans le communiqué d'Allaiance SwissPass et des CFF lundi. L'homme a entre-temps effacé «de manière irréversible» les données qu’il avait téléchargées.

Les données divulguées contenaient des informations sur les billets achetés et/ou la durée de validité des abonnements. Environ la moitié des données étaient exclusivement liées aux noms, prénoms et dates de naissance des clients.

Aucune information n'a été fournie sur le lieu de résidence, les moyens de paiement, les mots de passe et les adresses courriel. L'autre moitié des données contenait des informations impersonnelles sur les billets achetés aux distributeurs automatiques.

Dans leur communiqué, les CFF et Alliance Swisspass présentent leurs excuses à la clientèle. Pour expliquer ce couac, il faut remonter à fin 2020 quand les CFF ont renforcé la sécurité du processus de renouvellement des abonnements via cette plate-forme.

Préposé fédéral averti

Comme les clientes et clients de plusieurs entreprises de transports publics ne pouvaient plus renouveler leur abonnement de manière simple, les CFF ont rétabli l’accès avec l’ancien mécanisme en décembre 2021. Cette décision s’est révélée malheureuse: elle a créé une faille de sécurité.

Grâce au fait que l'expert externe a averti les CFF, la faille a pu être comblée, peut-on lire dans le communiqué. Désormais, plus aucune donnée ne peut être consultée sans autorisation.

Les CFF ont immédiatement informé le préposé fédéral à la protection des données et à la transparence et les entreprises de transports publics concernées. Une enquête interne a été lancée.

bu, ats