La sécurité du site de la RATP laisse à désirer

Pas besoin de ticket pour accéder aux données personnelles des usagers de la RATP…

Une faille exposant les données de plusieurs milliers d’utilisateurs du service d’inscription en ligne, Navigo a été découverte par un internaute qui l’a signalé à la régie des transports. Face à son inertie, il a transmis l’information à l’UFC Que Choisir qui a mené son enquête.

L’affaire illustre une nouvelle fois le problème de la sécurisation des données personnelles en ligne. L’internaute qui a découvert cette fuite, Arthur M., est loin d’être un expert en intrusion. Il est seulement un usager classique, effectuant une démarche pour obtenir le renouvellement de son titre de transport Navigo.

Pourtant en quelques clics il est tombé sur plusieurs pages contenant des informations personnelles.

Selon l’UFC, « Arthur M. s’est rendu compte que l’adresse Internet correspondant au formulaire qu’il vient de remplir reprenait une partie des chiffres de son propre numéro de client. Il découvre notamment qu’en modifiant ces chiffres, il a accès aux formulaires complets d’autres clients de la RATP. Au final, Arthur M. a pu avoir accès à pas moins de 1.400 formulaires pré-remplis »!

Photo, nom, prénom, adresse postale, courriel et numéro de téléphone, voilà le type de données qui étaient encore disponibles il y a quelques jours sur le site.

Soucieux de la protection des données, notre gentil internaute a contacté la RATP et Comutitres, le groupement d’intérêt économique (GIE) qui gère les titres communs de transport en Île-de-France.

Ne recevant aucune réponse il décidé de contacter l’UFC-Que Choisir d’Île-de-France. Ce qui semble enfin avoir fait réagir la RATP. En effet, l’outil d’inscription en ligne est supprimé. La régie promet de remettre cet outil à la disposition du public « dès que l’efficacité des mesures pour la sécurité du site auront été validées ». L’UFC souligne dans un communiqué la passivité de la régie qui était au courant.

Évidemment, personne n’est capable de dire si cette faille a permis ou pas le détournement de données personnelles…