Les CFF se sont fait siphonner un million de nos données
Technologie
La clientèle n’a subi aucun préjudice, affirment les CFF. Mais l’ampleur des données laissées temporairement en libre accès reste à déterminer
Modifié lundi 24 janvier 2022 à 13:39
Les incidents de cybersécurité se multiplient. Quelques jours après l’annonce, par le CICR, d’une attaque par des pirates informatiques, ce sont les CFF qui communiquent à ce sujet lundi. La régie affirme avoir constaté en janvier une fuite de données sur la plateforme de distribution globale des transports publics. Grâce à un signalement, il a été possible d’y remédier immédiatement, affirment les CFF.
Selon la régie, la clientèle n’a subi aucun préjudice. Mais l’ampleur des données temporairement en libre accès interpelle. C’est un spécialiste externe qui a constaté la faille, affirment les CFF. Celui-ci a pu, l’espace de quelques jours, consulter 0,2% de tous les blocs de données présents dans cette base, ce qui correspond à environ un million de blocs. Les données contenaient des informations sur les billets achetés et/ou la durée de validité des abonnements, poursuivent les CFF.
L’entreprise de transport explique qu’environ la moitié des blocs de données étaient exclusivement liés au nom, au prénom et à la date de naissance des clientes et clients des transports publics. «Les blocs de données ne contenaient aucune information sur le lieu de résidence, les moyens de paiement, les mots de passe ou les adresses électroniques», écrivent les CFF dans leur communiqué. Mais on ne sait pas pour l’heure précisément si les données en libre accès permettaient de retracer les parcours des clients des CFF. Selon ceux-ci, l’autre moitié des blocs de données contenait des données impersonnelles, relatives aux billets achetés au distributeur.
Plusieurs questions
Les CFF ont immédiatement informé le préposé fédéral à la protection des données et à la transparence, ainsi que les entreprises de transports publics concernées. Une enquête interne a également été lancée pour déterminer la cause de l’erreur, qui semble liée à une mise à jour.
Restent en l’état plusieurs questions. Qui a pu accéder à ces données? Que contenaient-elles précisément? Et peut-on être certain que les clients des CFF ne subiront aucun préjudice?
Développement suit dans la journée
Lire aussi: Que devraient faire les autorités suisses face au fléau des cyberattaques?
