Faille de sécurité chez CarPostal

Les documents de passagers après un contrôle étaient accessibles en ligne et pouvaient être téléchargés sur le portail clients de CarPostal, depuis la faille a été résolue. La compagnie exploite près de 900 lignes de bus et d’autocars à travers la Suisse, dont une trentaine de réseaux urbains. L’entreprise estime que 1 776 données n’ont pas été protégées entre mai 2021 et janvier de cette année. La firme cherche à déterminer si des données ont été obtenues de manière frauduleuse.

Historiquement liée aux PTT puis à La Poste suisse, elle est depuis 2006 distincte juridiquement bien qu’appartenant toujours à la Poste. Une faille de sécurité a été mise au jour sur le portail clients de CarPostal, « ticketcontrol.ch », selon la Schweizer Radio und Fernsehen (SRF). Les documents de passagers après un contrôle étaient accessibles en ligne et pouvaient être téléchargés. Aux yeux de CarPostal, la brèche a été résolue.

Les premières analyses montrent qu’il y a eu 745 accès aux dites informations, « il s’agit d’accès automatisés », précise la compagnie. Selon le rapport des responsables de la protection des données de CarPostal, l’incident est dû d’une part à un manque de précautions techniques et d’autre part à une gestion insuffisante des données. « Nous regrettons énormément cet incident et allons en tirer les leçons pour éviter qu’une telle erreur ne se reproduise », martèlent-ils.

Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications. Toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent.

Art. 13 Protection de la sphère privée. Constitution fédérale de la Confédération suisse

Le préposé fédéral à la protection des données et à la transparence (PFPDT) Adrian Lobsiger a jugé le cas « sérieux ». Le fichier contenait des informations sur les resquilleurs, qui n’était certes pas directement disponibles, mais chaque renseignement personnel nécessite une sécurité accrue, ajuste-t-il. « Le fait que l’accès à ces données ait été possible sans compétences spécifiques élevées montre que les données concernées n’étaient pas protégées dans la mesure exigée par la loi sur la protection des données. »

Incidents en cascade

Au début de la semaine, les Chemins de fer fédéraux suisses (CFF) et Alliance Swisspass annonçaient une fuite sur la plateforme de ventes de billets pour les transports publics Nova. La révélation s’est faite grâce à un spécialiste externe en informatique. « Il aurait réussi à consulter environ un million de données en quelques jours », relate 24Heures. Elles contenaient des informations sur les billets achetés, ainsi que sur la durée de validité des abonnements. Le 18 janvier 2022 Le Temps révélait qu’Adrian Lobsiger avait ouvert une enquête contre la fondation Swisstransplant concernant des lacunes en matière de sécurité et de protection des données. Car, selon l’émission Kassensturz de la télévision alémanique SRF, il serait possible de faire d’une personne un donneur d’organes à son insu.