Tout est parti d’une bonne intention. Les CFF remanient entièrement l’application Mobil CFF en invitant les utilisateurs à faire part de leurs impressions. Or, pour donner son avis sur la version provisoire de Mobil Preview, il faut s’inscrire sur une plateforme par le biais des réseaux sociaux ou s’enregistrer.
Au début avril, Stéphane Koch, spécialiste des questions numériques, a détecté une faille: ces données n’étaient pas sécurisées! En s’enregistrant par le biais d’un wifi public dans une gare ou un bistrot par exemple, on permettait ainsi aux petits malins d’accéder sans problème à l’identifiant. «Si on utilisait celui du compte Ticket Shop des CFF par exemple, on risquait de voir des malfrats pirater ces informations pour s’offrir des trajets à bon compte».
Notre lecteur signale directement le problème au responsable de la sécurité en ligne, dont il a obtenu l’adresse par le service marketing des CFF. Il déconseille également à ses contacts Facebook de s’enregistrer sur Mobil Preview. Du côté des CFF, le week-end passe et rien ne bouge pendant cinq jours. Sur Twitter, Rail Service le renvoie même… sur la plateforme qu’il dénonce! Il faudra l’intervention d’un autre twitteur qui décrit en détail le problème... au risque de donner des idées aux hackers, pour que la faille soit, enfin, corrigée.
«Si ce lecteur avait utilisé les canaux officiels, nous aurions réagi plus vite», se défend Donatella Del Vecchio, porte-parole des CFF. Et de relativiser le problème: «Il ne s’agit pas de l’application, mais d’une plateforme séparée, sur laquelle 80% des utilisateurs se sont identifiés par le biais leur compte Facebook ou Google. Quant aux autres, il aurait fallu qu’ils utilisent les mêmes identifiants que ceux du Ticket Shop et que ceux-ci soient interceptés par des malfrats disposant des outils informatiques suffisants pour courir un risque».
Une réponse qui reste en travers de la gorge de Stéphane Koch: «Dans un tel cas, on cherche la confidentialité et on n’intervient précisément PAS par un canal officiel!»
Mobil Preview est désormais sécurisé, mais les CFF font décidément peu de cas de la protection des données. En février dernier, ils se sont du reste déjà fait rappeler à l’ordre pour avoir inutilement conservé les informations récoltées par le biais du Swiss Pass.
Claire Houriet Rime
