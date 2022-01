Sécurité informatique – Faille de sécurité sur le portail clients de CarPostal Les documents de passagers après un contrôle étaient accessibles en ligne et pouvaient être téléchargés. La faille a été résolue.

Un bus Car Postal (image d’illustration). KEYSTONE/Anthony Anex 1 / 1

Une faille de sécurité a été mise au jour sur le portail clients de CarPostal, ticketcontrol.ch, selon la SRF. Les documents de passagers après un contrôle étaient accessibles en ligne et pouvaient être téléchargés. Selon CarPostal, la faille a été résolue.

À relire: Scandale CarPostal De nouvelles incohérences dans l’affaire Affaire CarPostal La justice fédérale enquête pour octroi d’avantages Interrogé par Keystone-ATS, la filiale de La Poste a indiqué avoir été avertie par la radio-télévision alémanique «qu’une entreprise de sécurité informatique externe avait attiré l’attention de la SRF sur ce cas».

Conséquence de cette faille de sécurité, des données ont atterri sans protection dans une mémoire intermédiaire et n’ont pas été effacées automatiquement comme prévu. Carpostal «regrette vivement» ce problème, assurant que la protection des données est «une priorité absolue».

Depuis mai

Ticketcontrol.ch est un guichet en ligne sur lequel les clients de Carpostal peuvent, après un contrôle, poser des questions au service d’encaissement de l’entreprise, demander une prolongation de délai ou présenter ultérieurement un billet qu’ils n’avaient pas sur eux lors du contrôle. La faille de sécurité concernait le formulaire de contact sur le site internet.

«Nous regrettons énormément cet incident et allons en tirer les leçons pour éviter qu’une telle erreur ne se reproduise.» CarPostal

CarPostal estime que 1776 données n’ont pas été protégées entre mai 2021 et janvier de cette année. L’entreprise cherche à déterminer si des données ont été obtenues de manière frauduleuse.

Les premières analyses montrent qu’il y a eu 745 accès à ces données. Il s’agit d’accès automatisés, principalement de deux entreprises de sécurité informatiques, précise CarPostal.

Selon elle, l’erreur a été corrigée immédiatement après l’annonce de la SRF. «Nous regrettons énormément cet incident et allons en tirer les leçons pour éviter qu’une telle erreur ne se reproduise», souligne CarPostal.

Inquiétude

Selon le rapport des responsables de la protection des données de CarPostal, l’incident est dû d’une part à un manque de précautions techniques et d’autre part à une gestion insuffisante des données.

«Les données concernées n’étaient pas protégées dans la mesure exigée par la loi sur la protection des données.» Adrian Lobsiger, préposé fédéral à la protection des données et à la transparence

Le préposé fédéral à la protection des données et à la transparence Adrian Lobsiger a jugé le cas «sérieux». Le registre des resquilleurs n’était certes pas directement accessible, mais les données personnelles relatives aux mauvais payeurs nécessitent une protection accrue, a-t-il estimé.

«Le fait que l’accès à ces données ait été possible sans compétences spécifiques élevées montre que les données concernées n’étaient pas protégées dans la mesure exigée par la loi sur la protection des données», a-t-il ajouté.

Failles en série

Ce nouvel incident s’inscrit dans une série de problèmes de protection des données survenus ces derniers temps. Au début de la semaine, les CFF et Alliance Swisspass annonçaient une fuite sur la plateforme de ventes de billets pour les transports publics Nova.

Les deux entreprises ont été informées de la fuite par un spécialiste informatique externe, qui aurait réussi à consulter environ un million de données en quelques jours en janvier. Les données divulguées contenaient des informations sur les billets achetés et/ou la durée de validité des abonnements.

Et la semaine dernière, Adrian Lobsiger a ouvert une enquête contre la fondation Swisstransplant concernant des lacunes en matière de sécurité et de protection des données. Selon l’émission Kassensturz de la télévision alémanique SRF, il serait possible de faire d’une personne un donneur d’organes à son insu.

Pour le préposé fédéral, le nombre croissant d’incidents de ce type montre que les exploitants de données doivent consacrer des moyens supplémentaires pour une exploitation sûre. Selon lui, des audits externes devraient être réalisés pour les systèmes présentant un risque élevé pour les personnes concernées.

ATS

Vous avez trouvé une erreur?Merci de nous la signaler.