Publié

Une faille de sécurité découverte sur le portail clients de CarPostal

Une faille de sécurité découverte sur le portail clients de CarPostal. [Keystone - Pablo Gianinazzi]
Une faille de sécurité découverte sur le portail clients de CarPostal / Le Journal horaire / 30 sec. / le 26 janvier 2022
Une faille de sécurité a été mise au jour sur le portail clients de CarPostal, ticketcontrol.ch, selon la SRF. Les documents de passagers après un contrôle étaient accessibles en ligne et pouvaient être téléchargés. Selon CarPostal, la faille a été résolue.

La filiale de La Poste a indiqué avoir été avertie par la radio-télévision alémanique "qu'une entreprise de sécurité informatique externe avait attiré l'attention de la SRF sur ce cas".

Conséquence de cette faille de sécurité, des données ont atterri sans protection dans une mémoire intermédiaire et n'ont pas été effacées automatiquement comme prévu. Carpostal "regrette vivement" ce problème, assurant que la protection des données est "une priorité absolue".

Depuis mai

Ticketcontrol.ch est un guichet en ligne sur lequel les clients de Carpostal peuvent, après un contrôle, poser des questions au service d'encaissement de l'entreprise, demander une prolongation de délai ou présenter ultérieurement un billet qu'ils n'avaient pas sur eux lors du contrôle. La faille de sécurité concernait le formulaire de contact sur le site internet.

CarPostal estime que 1776 données n'ont pas été protégées entre mai 2021 et janvier de cette année. L'entreprise cherche à déterminer si des données ont été obtenues de manière frauduleuse.

Les premières analyses montrent qu'il y a eu 745 accès à ces données. Il s'agit d'accès automatisés, principalement de deux entreprises de sécurité informatiques, précise CarPostal.

Selon elle, l'erreur a été corrigée immédiatement après l'annonce de la SRF. "Nous regrettons énormément cet incident et allons en tirer les leçons pour éviter qu'une telle erreur se reproduise", souligne CarPostal.

Inquiétude

Selon le rapport des responsables de la protection des données de CarPostal, l'incident est dû d'une part à un manque de précautions techniques et d'autre part à une gestion insuffisante des données.

Le préposé fédéral à la protection des données et à la transparence Adrian Lobsiger a jugé le cas "sérieux". Le registre des resquilleurs n'était certes pas directement accessible, mais les données personnelles relatives aux mauvais payeurs nécessitent une protection accrue, a-t-il estimé.

"Le fait que l'accès à ces données ait été possible sans compétences spécifiques élevées montre que les données concernées n'étaient pas protégées dans la mesure exigée par la loi sur la protection des données", a-t-il ajouté.

ats/jfe

Publié

Failles en série

Ce nouvel incident s'inscrit dans une série de problèmes de protection des données survenus ces derniers temps. Au début de la semaine, les CFF et Alliance Swisspass annonçaient une fuite sur la plateforme de ventes de billets pour les transports publics Nova.

Grosse fuite de données de ventes de billets de transports publics

Les deux entreprises ont été informées de la fuite par un spécialiste informatique externe, qui aurait réussi à consulter environ un million de données en quelques jours en janvier. Les données divulguées contenaient des informations sur les billets achetés et/ou la durée de validité des abonnements.

Et la semaine dernière, le préposé fédéral à la protection des données et à la transparence Adrian Lobsiger a ouvert une enquête contre la fondation Swisstransplant concernant des lacunes en matière de sécurité et de protection des données. Selon l'émission Kassensturz de la télévision alémanique SRF, il serait possible de faire d'une personne un donneur d'organes à son insu.

>> Relire aussi : Le registre des dons d'organes Swisstransplant fait l'objet d'une enquête