Un million de données a fuité sur la plateforme de vente de billets

La plateforme centrale de distribution Nova (Netzweite ÖV-Anbindung) des transports publics est concernée. Elle est exploitée par les CFF sur mandat d'Alliance Swisspass.

Informé depuis l'extérieur

Les CFF et Alliance Swisspass ont été informés de la fuite par un spécialiste informatique externe. Celui-ci aurait réussi à consulter en quelques jours en janvier environ un million de données.

Cela correspond à 0,2% de tous les enregistrements, peut-on lire dans le communiqué d'Allaiance SwissPass et des CFF lundi. L'homme a entre-temps effacé "de manière irréversible" les données qu’il avait téléchargées.

Les données divulguées contenaient des informations sur les billets achetés et/ou la durée de validité des abonnements. Environ la moitié des données étaient exclusivement liées aux noms, prénoms et dates de naissance des clients.

Aucune information n'a été fournie sur le lieu de résidence, les moyens de paiement, les mots de passe et les adresses courriel. L'autre moitié des données contenait des informations impersonnelles sur les billets achetés aux distributeurs automatiques.

Dans leur communiqué, les CFF et Alliance Swisspass présentent leurs excuses à la clientèle. Pour expliquer ce couac, il faut remonter à fin 2020 quand les CFF ont renforcé la sécurité du processus de renouvellement des abonnements via cette plate-forme.

Préposé fédéral averti

Comme les clientes et clients de plusieurs entreprises de transports publics ne pouvaient plus renouveler leur abonnement de manière simple, les CFF ont rétabli l’accès avec l’ancien mécanisme en décembre 2021. Cette décision s’est révélée malheureuse: elle a créé une faille de sécurité.

Grâce au fait que l'expert externe a averti les CFF, la faille a pu être comblée, peut-on lire dans le communiqué. Désormais, plus aucune donnée ne peut être consultée sans autorisation.

Les CFF ont immédiatement informé le préposé fédéral à la protection des données et à la transparence et les entreprises de transports publics concernées. Une enquête interne a été lancée. Un porte-parole des CFF n'a pas pu dire combien de temps cela prendrait.

Société numérique

Les CFF et la Société numérique ont signalé l'incident le 11 janvier, a confirmé Silvia Böhlen, porte-parole du préposé à la protection des données, à la demande de l'agence de presse Keystone-ATS. Selon lui, les CFF ont pu démontrer de manière crédible que l'erreur avait été corrigée depuis le 9 janvier et il est hautement improbable que les données des clients aient été utilisées à mauvais escient.

Par conséquent, conformément à la loi applicable, il n'y a pas d'obligation immédiate d'information et de déclaration. Toutes les demandes de données automatisées piratées ont pu être récupérées via la Société numérique, celle qui a accidentellement découvert la faille dans la base de données des tickets et des abonnements, a précisé Mme Böhlen.

Contrairement à ce que prétend la Société numérique, aucun profil de déplacement et aucune donnée particulièrement sensible ne sont concernés. Une enquête interne a été lancée pour trouver la cause de l'erreur.

La Société numérique est une association pour la protection des citoyens et des consommateurs à l’ère numérique à but non lucratif et à large assise. En tant qu’organisation de la société civile, depuis 2011, elle informe et conseille les individus et les institutions sur les questions de consommation et de droit dans l’espace numérique.