Un usager a découvert à la mi-juillet une faille de sécurité sur le site de la Régie des transports parisiens, révèle l'association de défense des consommateurs UFC Que-Choisir. Lusager en question est un particulier désireux dobtenir un passe "navigo", procède à une inscription en ligne sur le site de la RATP. Seulement il voit que, via lURL du formulaire quil remplit, son numéro de client apparaît.
Il modifie par la suite ce numéro, et constate quil peut accéder sans problème à plus de mille dossiers de clients, révélant leur état-civil, leur adresse postale, leur adresse e-mail, leur numéro de téléphone, leur photographie. Il s'agit centaines de formulaires d'adhésion au service Navigo (un pass avec abonnement sans contact).
L'usager curieux aurait ainsi pu accéder à plus de 1000 formulaires. Inquiet, il aurait signalé cette faille de sécurité à la RATP et à Comutitres, le groupement d'intérêt économique qui gère les différents titres de transport en commun d'Ile-de-France. Pour toute réponse, la Régie des transports parisiens se serait contentée de supprimer les fiches envoyées par l'internaute pour exemple.
La Ratp promet de remettre cet outil à la disposition du public « dès que l'efficacité de ces mesures pour la sécurité du site auront été validées », sans autre précision, dixit l'UFC.
http://www.silicon.fr/articles/165 [...] sirer.html
http://www.portage-emploi.com/arti [...] -2011.html
Deja que moi je n'avais pas confiance dans ces passes navigo, et qu'ils sont obligatoirement nominatif, contrairement au coupons, je crois que je ne suis pas prés d'en acheter ! ...
Sauf si un jour la ratp ne nous laisse plus le choix, mais ce sera impossible techiquement (pour les touristes de passage par ex ...)