Faille de sécurité sur le fichier clients de Voyages-sncf.com

Il n'y pas de fumée sans train-train 63
Marc Rees
La SNCF annonçait hier sur son site, et par erreur, 102 morts, dans le cadre d’une simulation un peu trop poussée et mal maitrisée. Aujourd’hui, nouveau déraillement dans ce qui semble être un mauvais train-train quotidien : le Canard Enchaîné révèle que le site voyages-sncf.com souffre d’un gros trou de sécurité laissant fuir les données confidentielles de ses millions de clients : nom, prénom, adresse, téléphone, date de naissance, mais heureusement pas les coordonnées bancaires.

voyages-sncf.com fuite données personnelles faille

Le bug de sécurité frappe à la porte des clients détenteurs d’une carte de fidélité (12-25, carte Escapades, etc.). Avec le numéro d’une de ces cartes, et « avec un peu d’astuce » note le canard, il est possible d’accéder aux données de tous les autres abonnés. Des informations qui valent de l’or sur le marché du mailing, valorisées par la SNCF elle-même entre 8 et 20 euros chacune.

Alertée lundi, la SNCF a vite colmaté le trou béant. Mais pour couronner le tout, nos confrères palmipèdes rappellent cependant qu’une cellule sécurité de la SNCF avait déjà alerté des risques de détournement « des données de fidélisation voyageurs ». C’était en juin 2008.