Les CFF sont dans l’embarras. Et c’est le moins qu’on puisse dire. Au début de l’année, un pirate informatique a pu s’emparer des données d’un million de clients de l’entreprise suisse. Et ce vol a été d’une facilité déconcertante, affirment des spécialistes. Le pirate n’a dû procéder qu’à de légères adaptations de l’URL du site web. Un profane aurait même pu y parvenir, assènent les milieux informatiques.
Les CFF ont bien sûr publiquement communiqué sur le piratage du 24 janvier. Le point faible du système aurait pu être «immédiatement corrigé», selon le groupe. Or, comme le montrent les recherches du Blick, ce n’est pas tout à fait exact.
«De telles données sont très demandées»
Les CFF n’auraient pas eu besoin d’une source externe pour connaître cette faille. Des documents internes obtenus par Blick montrent que l’entreprise a fait preuve d’une grande négligence dans la gestion de ses données. Pendant plus de trois ans et demi, elle était parfaitement au courant de ce défaut de sécurité. Mais n’a rien fait pour le combler.
En mars 2018 déjà, des spécialistes informatiques avaient, à l’interne, attiré l’attention sur ce point. En janvier 2020, un spécialiste externe a encore une fois signalé que tout le monde pouvait se servir dans les données des clients. Les CFF sont, à nouveau, restés les bras croisés.
Le point faible? Les CFF exploitent la plateforme de vente Nova pour la communauté nationale de transports publics Alliance Swisspass. Les autres prestataires des transports publics peuvent donc prolonger leurs abonnements via un lien d’accès sur cette plateforme. Quiconque pouvait manipuler ce lien avait donc accès aux noms, prénoms et dates d’anniversaire des clients des entreprises de transports publics.
Traitement négligent des données
«Il est exact que les CFF ont reçu en 2018 les premiers avertissements de spécialistes informatiques», déclare Reto Hügli, porte-parole de l’Alliance Swisspass, à laquelle les CFF renvoient. Les réponses restent très évasives.
Les CFF font la roue dans leur communiqué. Ils mentionnent le nouveau mécanisme de sécurité installé sur la plateforme, en novembre 2020. Le point faible aurait ainsi été comblé, poursuivent-ils sans vergogne. Mais ce n’est pas tout à fait vrai. Ils finissent par admettre que la faille de sécurité était encore ouverte fin novembre 2021 – ce n’est qu’à ce moment-là que l’ancien lien a été désactivé.
Comme les prestataires de transports publics avaient des difficultés à renouveler facilement les abonnements de leurs clients avec le nouveau lien, les CFF ont réactivé l’ancien accès dès décembre 2021, se dédouanent-ils. «Cette mesure a été prise avec une bonne intention: résoudre un problème des clients, nuance leur porte-parole. Mais les risques ont été mal évalués.»
500 millions de données en ligne
Tout comme cela avait déjà été le cas trois ans et demi auparavant. Mais cette fois-ci, le défaut de sécurité n’est pas passé inaperçu. Le 9 janvier 2022, un pirate informatique a entrepris le téléchargement des informations des clients depuis la plateforme. Il a volé pas moins d’un million de données sur les 500 millions disponibles.
Mais les CFF peuvent s’estimer chanceux. L’attaque a été menée par un hacker dit éthique, c’est-à-dire qu’il recherche les failles de sécurité dans les systèmes et les signale ensuite aux entreprises. Le pirate aurait consciencieusement effacé les données dérobées. Après la «découverte» de cette faille, les CFF ont fait une déclaration au Préposé fédéral à la protection des données et à la transparence et lancé une enquête interne. Des experts indépendants devaient déterminer la cause de l’erreur.
Résultat de l’enquête? «Plusieurs facteurs ont été déterminants, avec au départ une erreur d’appréciation, reconnaît le porte-parole de l’entreprise suisse. Les CFF ont pris les mesures qui s’imposent afin de renforcer la sécurité et la gestion des risques. Grâce à des processus optimisés, il nous est aujourd’hui possible de réagir plus rapidement lorsque des risques sont découverts.»
«Cela ne doit jamais arriver!»
Cette déclaration optimiste ne devrait toutefois pas faire oublier la défaillance. «De telles données sont très recherchées par les criminels sur la toile, s’indigne Otto Hostettler, expert en cybercriminalité et journaliste au «Beobachter». Elles peuvent être associées à des données provenant d’autres vols, être complétées et ensuite utilisées pour des attaques de 'phishing'.» Lors de ces dernières, les pirates tentent par exemple de voler des logins, des numéros de cartes de crédit ou des informations confidentielles sur les entreprises ou leurs clients.
L’expert est très sévère avec les CFF. «Ne rien faire face à une telle faille? Cela ne doit jamais arriver!, tonne-t-il. Si l’on sait pertinemment que des ensembles de données aussi importants sont aussi vulnérables, on doit tout faire pour que cette faille soit comblée.»
Une fois la défaillance connue du grand public, l’entreprise a publié plusieurs articles sur son propre portail d’information mettant en avant leurs efforts en matière de traitement des données sensibles. Une véritable opération de charme…