La plate-forme centrale de distribution NOVA des transports publics est exploitée par les CFF sur mandat de l’Alliance SwissPass (voir encadré). À la fin 2020, les CFF ont renforcé la sécurité du processus de renouvellement des abonnements via cette plate-forme. Comme les clientes et clients de plusieurs entreprises de transports publics ne pouvaient plus renouveler leur abonnement de manière simple, les CFF ont rétabli l’accès avec l’ancien mécanisme en décembre 2021. Cette décision s’est révélée malheureuse: elle a créé une faille de sécurité.
Un spécialiste externe en informatique a découvert cette faille et a pu, début janvier 2022 et en l’espace de quelques jours, consulter automatiquement 0,2% de tous les blocs de données, ce qui correspond à environ un million de blocs. Les données contenaient des informations sur les billets achetés et/ou la durée de validité des abonnements. Environ la moitié des blocs de données étaient exclusivement liés au nom, au prénom et à la date de naissance des clientes et clients des transports publics. Les blocs de données ne contenaient aucune information sur le lieu de résidence, les moyens de paiement, les mots de passe ou les adresses électroniques. L’autre moitié des blocs de données contenait des données impersonnelles, relatives aux billets achetés au distributeur.
Ce spécialiste externe en informatique a ensuite signalé la faille aux CFF et a entre-temps effacé de manière irréversible les données qu’il avait téléchargées. Grâce à cette annonce, les CFF ont pu remédier à cette faille immédiatement. La consultation automatisée non autorisée des données n’est plus possible. La clientèle n’a subi aucun préjudice.
Les CFF ont immédiatement informé le préposé fédéral à la protection des données et à la transparence et les entreprises de transports publics concernées. Une enquête interne a également été lancée pour déterminer la cause de l’erreur. L’Alliance SwissPass, en sa qualité de commanditaire de la plate-forme, et les CFF, en tant qu’exploitants, présentent leurs excuses aux clientes et clients des transports publics.
Les CFF font d’importants efforts en matière de sécurité informatique, notamment en ce qui concerne les données de la clientèle. Les systèmes informatiques font l’objet d’analyses en permanence, afin d’empêcher les accès non désirés.
Les CFF gèrent la plate-forme de distribution du secteur des transports publics
Les CFF exploitent la plate-forme centrale de distribution des transports publics pour le compte de l’Alliance SwissPass. Les informations relatives aux billets et aux abonnements sont enregistrées dans la base de données à des fins de facturation. Le webshop des CFF et les plates-formes de vente des autres entreprises de transports publics sont reliées à la banque de données.