Fuite de données personnelles sur le site voyages-sncf.fr

Le Canard enchaîné révèle, dans son édition de ce mercredi 17 mars 2010, qu'il était possible d'accéder aux données des clients porteurs d'une carte d'abonnement SNCF (12-25, Senior, Enfant Plus et Escapades). Jusqu'à hier matin, mardi 16 mars, il suffisait de suivre une procédure très simple (que l'on ne révèlera pas ici) et de rentrer n'importe quel numéro de carte d'abonné pour accéder aux données personnelles du client en question.

En modifiant l'un des 11 chiffres identifiant un abonnement, d'autres informations clients apparaissaient alors. Bilan : des millions de données accessibles en quelques clics de souris. « Cet espace n'a pas été vérifié depuis longtemps, confirme Pierre Matuchet, le directeur général adjoint du pôle technique de voyages-sncf.com. Nous sommes en pleine refonte du site et ce type de bévue n'existera plus. »

Les quelque 150 informaticiens en charge du site voyages-sncf.com ne manquent pas de travail, il est d'ailleurs à remarquer qu'après avoir été alertés, les ingénieurs ont corrigé cette faille en moins de douze heures. « Nous avons mis en place un premier patch imposant aux clients de fournir, en plus de leur numéro de carte, leur date de naissance, confirme Pierre Matuchet. Début avril, une mise à jour globale et définitive sera effectuée. »

Aucune information bancaire n'était heureusement accessible par l'intermédiaire de cet espace. Au passage, il a été constaté que des données appartenant à d'anciens abonnés étaient toujours sauvegardées et accessibles dans le système de gestion.

Le site voyages-sncf.com avait déjà connu le même type de faille, en 2008. A la suite d'une mise à jour ratée, les abonnés de l'époque se retrouvaient tous sur le compte de la même personne. Bref, tout cela ne fait pas très sérieux pour le numéro un français du commerce électronique.