RATP : données de clients en ligne

Jusqu'à mi-juillet, des centaines de fiches clients de la RATP étaient facilement consultables sur Internet. Un usager a bien alerté la Régie Autonome des Transports Parisiens mais celle-ci n'a rien voulu entendre. Il a fallu que l'association de

Jusqu'à mi-juillet, des centaines de fiches clients de la RATP étaient facilement consultables sur Internet. Un usager a bien alerté la Régie Autonome des Transports Parisiens mais celle-ci n'a rien voulu entendre. Il a fallu que l'association de consommateurs UFC - Que Choisir tire la sonnette d'alarme pour que ces données soient enfin protégées.

internet-securite-ratp

Photo, nom, prénom, date de naissance, adresse, téléphone personnel, portable, adresse mail. Voici donc les informations confidentielles qui étaient en libre consultation par tout à chacun sur la toile. La faille était réelle et nombreux sont les petits malins en informatique qui ont pu accédé à ces informations confidentielles.
La faille a été découverte par hasard par un internaute à la mi-juillet. Alors qu'il effectue sur le site Internet de la RATP les démarches nécessaires pour échanger gratuitement sa carte Orange contre un titre d'abonnement sans contact Passe Navigo, Arthur M. se rend compte que l'adresse Internet correspondant au formulaire qu'il vient de remplir reprend une partie des chiffres de son propre numéro de client. Il découvre surtout qu'en modifiant ces chiffres, il a accès aux formulaires complets d'autres clients de la RATP. Au final, Arthur a pu avoir accès à pas moins de 1 400 formulaires pré-remplis !

Inquiet de la vulnérabilité de ces données, Arthur alerte la RATP et Comutitres, le groupement d'intérêt économique (GIE) qui gère les titres communs de transport en Île-de-France. Leur seule réponse est de supprimer les quelques formulaires qu'il leur a transmis pour exemple. Quinze jours plus tard, Arthur renouvelle donc sa mise en garde, sans plus de succès. Il faudra finalement que l'association locale UFC-Que Choisir d'Île-de-France, saisie par Arthur, s'en mêle pour que la RATP et le Syndicat des transports de la région (le Stif) réagissent en fermant l'accès au service.
A ce jour, le service est momentanément indisponible et il est impossible de commander en ligne sa carte Navigo. La RATP promet toutefois de remettre cet outil à la disposition du public « dès que l'efficacité de ces mesures pour la sécurité du site auront été validées », sans autre précision.



Publié Le 04/09/2006 à 11:34 par



Ajouter un commentaire…

*