Brève
31 août 2006
Données privées
La sécurité déraille
Un problème de protection des données sur le site Internet de la RATP a permis tout cet été à n'importe qui d'accéder à des centaines de formulaires pré-remplis. La régie était au courant, mais n'a rien fait.
Des centaines de formulaires d'adhésion au service Navigo de la RATP avec, sur chacun d'entre eux, la photo du demandeur, ses nom, prénom, adresse postale, courriel et numéro de téléphone. Voilà ce à quoi pouvaient avoir accès les internautes il y a encore quelques jours sur le site Internet de la RATP (voir exemple ci-dessous). Pour cela, pas besoin d'être un petit génie de l'informatique. Un peu d'imagination et quelques clics suffisaient pour avoir accès à ces données privées.
La faille a été découverte par hasard par un internaute à la mi-juillet. Alors qu'il effectue sur le site Internet de la RATP les démarches nécessaires pour échanger gratuitement sa carte Orange contre un titre d'abonnement sans contact Passe Navigo, Arthur M. se rend compte que l'adresse Internet correspondant au formulaire qu'il vient de remplir reprend une partie des chiffres de son propre numéro de client. Il découvre surtout qu'en modifiant ces chiffres, il a accès aux formulaires complets d'autres clients de la RATP. Au final, Arthur a pu avoir accès à pas moins de 1 400 formulaires pré-remplis !
Inquiet de la vulnérabilité de ces données, Arthur alerte la RATP et Comutitres, le groupement d'intérêt économique (GIE) qui gère les titres communs de transport en Île-de-France. Leur seule réponse est de supprimer les quelques formulaires qu'il leur a transmis pour exemple. Quinze jours plus tard, Arthur renouvelle donc sa mise en garde, sans plus de succès. Il faudra finalement que l'association locale UFC-Que Choisir d'Île-de-France, saisie par Arthur, s'en mêle pour que la RATP et le Syndicat des transports de la région (le Stif) réagissent en fermant l'accès au service. Depuis, c'est le statu quo. La Ratp promet de remettre cet outil à la disposition du public « dès que l'efficacité de ces mesures pour la sécurité du site auront été validées », sans autre précision.
Exemple de formulaire trouvé sur le site de la RATP *
* La photo et les éléments d'ordre privé (nom, adresse, courriel...) ont été noircis.
