Une mise à jour de Voyages-sncf.com crée une vilaine anomalie

À nous de vous faire préférer le bug 58
Alors que certains fustigent la future hausse des prix de la SNCF, d'autres ont eu la surprise de constater un bug important mardi dernier. Cette anomalie permettait tout simplement aux visiteurs d'accéder au compte de quelqu'un d'autre.

Un accès total au compte d'une autre personne

Voyage sncf compte bug « Je peux vous informer que cette fonctionnalité [NDRL : l'espace personnel] a été coupée à la suite d'un problème gravissime qu'une amie a constaté hier : la connexion sur cet espace entraînait en effet l'affichage des données personnelles de tiers » nous a ainsi avertis un lecteur de PC INpact.

Un autre de nos lecteurs est même allé plus loin en nous envoyant des captures d'écran d'un compte touché par ce phénomène. On pouvait ainsi y voir toutes les informations relatives au compte du client de la SNCF, c'est-à-dire son identifiant Voyages-sncf.com, son nom, son prénom, son courriel, son adresse (physique), mais aussi sa date de naissance, son profil voyageur (classe généralement choisie, carte d'abonnement, etc.), et évidemment ses historiques de voyages. Ci-contre, l'une des captures en question.

Ce second lecteur a non seulement confirmé les dires du premier, mais a de plus été plus précis encore : « Lors de nos connexions ce midi (et suite à une interruption toute la nuit du service train) plusieurs collègues et moi avons eu un bug assez... honteux. Lorsque nous nous connections à notre compte, tout semblait bien se passer, mais en cliquant sur "Mon Compte", le compte affiché était tout le temps celui de "V. J". Visiblement tout le monde se retrouvait sur son espace via ce lien, et notre propre espace n'était plus accessible... Donc toutes les informations personnelles de ce pauvre client ont été étalées à la vue de tout le monde pendant au moins une heure. (entre deux plantages d'accès à mon compte) ».

Pas de problème de compte bancaire

Snut voyages-sncf panne serveursContactée par nos soins, la SNCF nous a bien confirmé cette fameuse anomalie, créée lors de la mise à jour du site dans la nuit de lundi à mardi. Fort heureusement, le site Voyages-sncf.com n'enregistre aucune donnée bancaire. Par conséquent, personne n'a pu ni capter le compte des personnes touchées par ce bug, ni acheter de billet à leur insu.

« Afin d'améliorer votre site Voyages-sncf.com, nous avons procédé à une intervention technique dans la nuit du 15 au 16 décembre et l'accès à nos services de réservation de billets de train a été interrompu pendant 3 heures. Le site, qui a été rouvert au public le 16 décembre à 1h, est actuellement en cours de stabilisation » explique la SNCF sur son site.

La porte-parole du site de la SNCF a expliqué à PC INpact que l'anomalie touchant les comptes clients n'a duré que quelques heures. Après avoir repéré le bug en question, le site est resté ouvert, mais a retiré l'option du compte client en attendant de résoudre le problème. Désormais libre de tout bug selon la porte-parole de Voyages-sncf.com, le compte client vient de réapparaître il y a quelques heures à peine.

Un bug gênant, mais une mise à jour importante

La fameuse mise à jour du site ayant causé ces problèmes permet selon la SNCF :
  • L'affichage des trains complets sur la page de résultats lors des recherches de billets de train,
  • L'accès simplifié aux horaires des trains suivants,
  • L'optimisation de la fonction « page précédente » de votre navigateur Internet,
  • L'amélioration du temps de chargement des pages.
Un test de notre part confirme l'apparition des trains complets, ainsi qu'un chargement légèrement plus rapide. La page précédente ne semble par ailleurs poser aucun problème, ce qui n'a pas toujours été le cas dans le passé.

Enfin, sur une page dédiée à la future évolution du site, Voyages-sncf.com explique qu'un « accès plus direct à la page de proposition de réservation de billets de train depuis la page d'accueil du site pour des réservations simples (tarif sans carte, sans abonnement) » sera proposé dès le mois prochain.