Faille de sécurité corrigée sur la plate-forme des tranports publics

Que s’est-il passé exactement?

Un spécialiste informatique externe est tombé sur un point faible de la plateforme de distribution centrale "NOVA" des transports publics. Celle-ci est gérée par les CFF pour le compte de l'Alliance SwissPass (voir encadré). Début janvier 2022, le spécialiste en informatique a réussi à obtenir 0,2% de tous les enregistrements de manière automatisée en l'espace de quelques jours, ce qui correspond à environ un million d'enregistrements. Les données contenaient des informations sur les billets achetés et/ou la durée de validité des abonnements. Environ la moitié des jeux de données étaient liés au nom, au prénom et à la date de naissance des clients des transports publics. Les enregistrements ne contenaient aucune information sur l'adresse, les moyens de paiement, les mots de passe ou les adresses e-mail. L'autre moitié des enregistrements contenait des informations techniques sur les billets achetés aux distributeurs automatiques.

Qu'est-ce que les CFF ont fait ?

La récupération automatique des données a été découverte et stoppée par les analystes des CFF début janvier. Les CFF ont immédiatement informé le préposé fédéral à la protection des données et à la transparence et les entreprises de transports publics concernées. Par la suite, les médias et la clientèle ont également été informés. Entre-temps, un spécialiste informatique externe s'est manifesté et a avoué avoir consulté ces données.

Qu'est-il advenu des données récupérées ?

Le spécialiste informatique externe a confirmé aux CFF qu'il avait irrémédiablement effacé les données personnelles téléchargées. La consultation automatisée non autorisée des données n’est plus possible. La clientèle n’a subi aucun préjudice.

Comment les CFF peuvent-ils être sûrs qu'aucun dommage n'a été causé ?

Par la suite, des analyses ont permis de clarifier que toutes les données qui ont fui étaient dues à la consultation effectuée par le spécialiste informatique externe. Ces données ont été irrévocablement effacées.

Pourquoi y avait-il un point faible ?

Fin 2020, les CFF ont introduit un nouveau mécanisme de sécurité. Comme les clientes et clients de plusieurs entreprises de transports publics ne pouvaient plus renouveler leur abonnement de manière simple, les CFF ont rétabli l’accès avec l’ancien mécanisme en décembre 2021. Cette décision s’est révélée malheureuse: elle a créé une faille de sécurité.

Mes données ont-elles été affectées par la fuite de données ?

Si tu veux savoir si tes données de billetterie ou d'abonnement sont concernées par cette faille, tu peux t'adresser à datenschutz@sbb.ch.

Quelles leçons les CFF tirent-ils pour éviter de telles erreurs ?

Les CFF ont lancé une enquête interne pour déterminer la cause de l'erreur. Des spécialistes des CFF ont examiné la plateforme de distribution à la loupe et la font encore vérifier par des experts indépendants.

Pourquoi y a-t-il autant de données clients sur la plateforme de vente ?

Les CFF doivent enregistrer ces données à des fins de facturation. Selon le type de données, la durée légale de conservation est de plusieurs années. Les données ne sont ni conservées ni utilisées à d'autres fins que la facturation.

Que font les CFF en matière de protection des données ?

Les CFF font d’importants efforts en matière de sécurité informatique et de protection des données, notamment en ce qui concerne les données de la clientèle. Les CFF dépensent chaque année des dizaines de millions pour la cybersécurité. Les systèmes informatiques font l’objet d’analyses en permanence, afin d’empêcher les accès non désirés. Les plus de 30 000 collaborateurs sont régulièrement informés et sensibilisés au thème de la cybersécurité et de la protection des données.

Trouvez plus d'informations sur la protection des données aux CFF.