RATP : données de clients en ligne
Jusqu'à mi-juillet, des centaines de fiches clients de la RATP étaient facilement consultables sur Internet. Un usager a bien alerté la Régie Autonome des Transports Parisiens mais celle-ci n'a rien voulu entendre. Il a fallu que l'association de

Photo, nom, prénom, date de naissance, adresse, téléphone personnel, portable, adresse mail. Voici donc les informations confidentielles qui étaient en libre consultation par tout à chacun sur la toile. La faille était réelle et nombreux sont les petits malins en informatique qui ont pu accédé à ces informations confidentielles.
La faille a été découverte par hasard par un internaute à la mi-juillet. Alors qu'il effectue sur le site Internet de la RATP les démarches nécessaires pour échanger gratuitement sa carte Orange contre un titre d'abonnement sans contact Passe Navigo, Arthur M. se rend compte que l'adresse Internet correspondant au formulaire qu'il vient de remplir reprend une partie des chiffres de son propre numéro de client. Il découvre surtout qu'en modifiant ces chiffres, il a accès aux formulaires complets d'autres clients de la RATP. Au final, Arthur a pu avoir accès à pas moins de 1 400 formulaires pré-remplis !A ce jour, le service est momentanément indisponible et il est impossible de commander en ligne sa carte Navigo. La RATP promet toutefois de remettre cet outil à la disposition du public « dès que l'efficacité de ces mesures pour la sécurité du site auront été validées », sans autre précision.
Inquiet de la vulnérabilité de ces données, Arthur alerte la RATP et Comutitres, le groupement d'intérêt économique (GIE) qui gère les titres communs de transport en Île-de-France. Leur seule réponse est de supprimer les quelques formulaires qu'il leur a transmis pour exemple. Quinze jours plus tard, Arthur renouvelle donc sa mise en garde, sans plus de succès. Il faudra finalement que l'association locale UFC-Que Choisir d'Île-de-France, saisie par Arthur, s'en mêle pour que la RATP et le Syndicat des transports de la région (le Stif) réagissent en fermant l'accès au service.
Publié Le 04/09/2006 à 11:34 par Frédéric Santos