Les données de millions de clients des CFF étaient accessibles en ligne.
© SBB CFF FFS
Début 2022, les CFF ont été la cible d’un pirate informatique qui a pu s’emparer des données de pas moins d’un million de clients de l’entreprise suisse. D’après les spécialistes, ce vol a été d’une facilité déconcertante. Le pirate n’a dû procéder qu’à de légères adaptations de l’URL du site web pour accéder aux données, même un profane aurait pu y parvenir.
Les CFF avait rapidement communiqué publiquement sur ce piratage en indiquant que la faille avait « immédiatement été corrigée ». Or, en réalité cela ne serait pas tout à fait vrai.
Une faille négligée
Selon des documents internes, l’entreprise a fait preuve d’une grande négligence dans la gestion de ses données. En effet, pendant plus de trois ans et demi, les CFF étaient parfaitement au courant de ce défaut de sécurité, mais rien n’a été entrepris pour le combler.
En mars 2018 déjà, des spécialistes informatiques avaient attiré l’attention sur ce point à l’interne. En janvier 2020, c’est au tour d’un spécialiste externe de signaler que les données clients étaient accessibles à tous.
Un traitement lent
« Il est exact que les CFF ont reçu en 2018 les premiers avertissements de spécialistes informatiques », déclare Reto Hügli, porte-parole de l’Alliance Swisspass.
Dans un communiqué, les CFF indiquent que le nouveau mécanisme de sécurité est installé sur la plateforme en novembre 2020. Le point faible aurait ainsi été comblé, poursuivent-ils sans vergogne. Mais avec le temps, les CFF finissent par admettre que la faille en question était encore ouverte fin novembre 2021.
Comme les prestataires de transports publics rencontraient des difficultés à renouveler facilement les abonnements de leurs clients avec le nouveau lien, les CFF ont réactivé l’ancien accès dès décembre 2021, se dédouanent-ils. « Cette mesure a été prise avec une bonne intention : résoudre un problème des clients, nuance leur porte-parole. Mais les risques ont été mal évalués. »
Un piratage chanceux
Le 9 janvier dernier, lorsque du piratage informatique, les CFF peuvent s’estimer chanceux, car l’attaque a été menée par un hacker dit éthique. En d’autres termes, le hacker recherche les failles de sécurité dans les systèmes et les signale ensuite aux entreprises. Après cette attaque, le pirate aurait consciencieusement effacé les données dérobées.
Après la « découverte » de cette faille signalée par le pirate, les CFF ont fait une déclaration au Préposé fédéral à la protection des données et à la transparence et lancé une enquête interne pour déterminer la cause de l’erreur.
Résultat de l’enquête ? « Plusieurs facteurs ont été déterminants, avec au départ une erreur d’appréciation, reconnaît le porte-parole de l’entreprise suisse. Les CFF ont pris les mesures qui s’imposent afin de renforcer la sécurité et la gestion des risques. Grâce à des processus optimisés, il nous est aujourd’hui possible de réagir plus rapidement lorsque des risques sont découverts. »
Cette déclaration optimiste du porte-parole des CFF ne devrait toutefois pas faire oublier la défaillance. « De telles données sont très recherchées par les criminels sur la toile, s’indigne Otto Hostettler, expert en cybercriminalité et journaliste au « Beobachter ». Elles peuvent être associées à des données provenant d’autres vols, être complétées et ensuite utilisées pour des attaques de 'phishing'. »
L’expert est très sévère avec les CFF. « Ne rien faire face à une telle faille ? Cela ne doit jamais arriver ! tonne-t-il. Si l’on sait pertinemment que des ensembles de données aussi importants sont aussi vulnérables, on doit tout faire pour que cette faille soit comblée. »
Dès lors la défaillance connue du grand public, l’entreprise a publié plusieurs articles sur son propre portail d’information mettant en avant leurs efforts en matière de traitement des données sensibles. Une véritable opération de charme…