La plateforme centrale de distribution Nova (Netzweite ÖV-Anbindung), exploitée par les CFF sur mandat d'Alliance Swisspass, a été piratée. Les CFF ont été informés de la fuite par un spécialiste informatique externe. Durant le mois de janvier, celui-ci aurait réussi à consulter en quelques jours environ un million de données.
Cela correspond à 0,2% de tous les enregistrements, peut-on lire dans le communiqué d'Alliance SwissPass et des CFF lundi. L'homme a entre-temps effacé «de manière irréversible» les données qu’il avait téléchargées.
Billets achetés et abonnements
Les données divulguées contenaient des informations sur les billets achetés et/ou la durée de validité des abonnements. Environ la moitié des données étaient exclusivement liées aux noms, prénoms et dates de naissance des clients.
Aucune information n'a été fournie sur le lieu de résidence, les moyens de paiement, les mots de passe et les adresses courriel. L'autre moitié des données contenait des informations impersonnelles sur les billets achetés aux distributeurs automatiques.
Dans leur communiqué, les CFF et Alliance Swisspass présentent leurs excuses à la clientèle. Pour expliquer ce couac, il faut remonter à fin 2020 quand les CFF ont renforcé la sécurité du processus de renouvellement des abonnements via cette plate-forme.
Le préposé fédéral averti
Comme les clientes et clients de plusieurs entreprises de transports publics ne pouvaient plus renouveler leur abonnement de manière simple, les CFF ont rétabli l’accès avec l’ancien mécanisme en décembre 2021. Cette décision s’est révélée malheureuse: elle a créé une faille de sécurité.
Grâce au fait que l'expert externe a averti les CFF, la faille a pu être comblée, peut-on lire dans le communiqué. Désormais, plus aucune donnée ne peut être consultée sans autorisation.
Les CFF ont immédiatement informé le préposé fédéral à la protection des données et à la transparence et les entreprises de transports publics concernées. Une enquête interne a été lancée.
(ATS)
