Une fuite de données personnelles à la RATP
Métro c'est trop
L’UFC Que Chosir vient de révéler un problème de protection des données sur le site Internet de la RATP (régie autonome des transports parisiens). Selon l’association de défense des consommateurs, il a permis durant tout cet été « à n'importe qui d'accéder à des centaines de formulaires préremplis ».
Il s’agissait spécialement de quelques centaines de formulaires d'adhésion au service Navigo (un pass avec abonnement sans contact). Sur chaque formulaire, on pouvait contempler la photo du demandeur, son état civil, son adresse postale, son mail et son numéro de téléphone. « Un peu d'imagination et quelques clics suffisaient pour avoir accès à ces données privées » explique l’UFC. En fait, un particulier qui s’enregistrait en ligne s’est aperçu que l’URL de son formulaire correspond en partie à son numéro client. Surprise : en modifiant à la main ce numéro dans l’adresse, il parvint dynamiquement à consulter le formulaire des autres clients. Imparable. « Au final, [le consommateur ] a pu avoir accès à pas moins de 1 400 formulaires préremplis ! » apprend-on du groupement qui publie une capture anonymisée de la fuite (cf. image).
Le consommateur contactera la RATP, aura pour seule réponse la suppression des fiches données en exemple. Une nouvelle tentative se soldera par cette même demi-réaction. Ce n’est que via l'association locale UFC-Que Choisir d'Île-de-France que les choses ont finalement bougé. Du moins, la mesure consiste en la fermeture pure et simple du service, faute de mieux. « La RATP promet de remettre cet outil à la disposition du public "dès que l'efficacité de ces mesures pour la sécurité du site auront été validées", sans autre précision » explique encore l’association.
On signalera que la carte Navigo avait fait grand bruit à sa sortie, lorsque la RATP fit connaître sa volonté de faire payer 5 euros, le fait de garder confidentielles les informations données pour avoir la carte. La Commission nationale de l'informatique et des libertés s’en était émue en décembre, dénonçant à la radio : « chaque fois que l'on met en place un système de carte à puce qui permet de tracer des déplacements, il faut proposer aux gens une alternative, qui est l'alternative de l'anonymat. Cette alternative doit être gratuite ».
Il s’agissait spécialement de quelques centaines de formulaires d'adhésion au service Navigo (un pass avec abonnement sans contact). Sur chaque formulaire, on pouvait contempler la photo du demandeur, son état civil, son adresse postale, son mail et son numéro de téléphone. « Un peu d'imagination et quelques clics suffisaient pour avoir accès à ces données privées » explique l’UFC. En fait, un particulier qui s’enregistrait en ligne s’est aperçu que l’URL de son formulaire correspond en partie à son numéro client. Surprise : en modifiant à la main ce numéro dans l’adresse, il parvint dynamiquement à consulter le formulaire des autres clients. Imparable. « Au final, [le consommateur ] a pu avoir accès à pas moins de 1 400 formulaires préremplis ! » apprend-on du groupement qui publie une capture anonymisée de la fuite (cf. image).
Le consommateur contactera la RATP, aura pour seule réponse la suppression des fiches données en exemple. Une nouvelle tentative se soldera par cette même demi-réaction. Ce n’est que via l'association locale UFC-Que Choisir d'Île-de-France que les choses ont finalement bougé. Du moins, la mesure consiste en la fermeture pure et simple du service, faute de mieux. « La RATP promet de remettre cet outil à la disposition du public "dès que l'efficacité de ces mesures pour la sécurité du site auront été validées", sans autre précision » explique encore l’association.
On signalera que la carte Navigo avait fait grand bruit à sa sortie, lorsque la RATP fit connaître sa volonté de faire payer 5 euros, le fait de garder confidentielles les informations données pour avoir la carte. La Commission nationale de l'informatique et des libertés s’en était émue en décembre, dénonçant à la radio : « chaque fois que l'on met en place un système de carte à puce qui permet de tracer des déplacements, il faut proposer aux gens une alternative, qui est l'alternative de l'anonymat. Cette alternative doit être gratuite ».
Source :
UFC
Marc Rees
le 1 septembre 2006 à 09:44
(43 984
lectures)
Actualités et brèves relatives
- 24 / 07 / 2006 : Fraude aux clics : Google ferait assez d'efforts selon un expert
- 16 / 06 / 2006 : Site porno au bureau des impôts, 2200 identités à l'eau
- 15 / 06 / 2006 : 4 millions de japonais victimes d'un vol de données
- 25 / 07 / 2005 : CardSystem, Visa pour des problèmes
- 22 / 06 / 2005 : Mastercard, visa pour une grosse brèche (suite)
- 20 / 06 / 2005 : Mastercard, visa pour une très grosse brèche
- 01 / 06 / 2005 : CNIL : maladresse dans le changement d'adresse
- 14 / 04 / 2005 : 180 000 cartes de crédit dans la nature
