Fermer

Métropole de Lille : une faille permet de récupérer les données des utilisateurs de l’appli de transports

Des étudiants ont mis au jour une faille de sécurité permettant d’accéder facilement aux données personnelles des utilisateurs de l’appli Pass Pass Easy Card, utilisée dans la métropole lilloise pour recharger sa carte de transports. L’accès à l’application a été suspendu.

 

La société Keolis serait bien avisée de s’inquiéter de la sécurité de son application Pass Pass Easy Card. Deux étudiants ont en effet découvert une importante faille de sécurité qui permettrait de récupérer facilement les données personnelles des utilisateurs. Dans la métropole de Lille, cette application offre la possibilité de recharger sa carte de transports sans contact à l’aide de son smartphone. “Cette faille est une aberration pour tout professionnel de l’informatique”, affirme Thomas, un des deux étudiants, à La Voix du Nord.

L’application du réseau Transpole-Keolis récupère les nom et prénom de l’usager, son adresse, son numéro de téléphone et requiert évidemment un mot de passe. “Toutes les données personnelles de ces utilisateurs sont accessibles facilement, sans identification ni codage”, explique l’étudiant. Ce que confirme Damien Bancal, expert des questions de cybersécurité et éditeur du blog Zataz, qui a été contacté par l’autre étudiant : “l’application n’est pas du tout sécurisée et chiffrée”. Tous les utilisateurs de l’application seraient concernés, soit plus de 12.000 personnes, selon le quotidien. Les données bancaires, en revanche, ne seraient pas accessibles.

Thomas a contacté à plusieurs reprises la société Keolis, mais celle-ci ne semblait pas mesurer l’ampleur du problème. Le support a répondu en février dernier au jeune homme qu’”un audit de sécurité a effectivement révélé des failles dans l’application” et que “des mesures visant à corriger ces failles dans les meilleurs délais” avaient été prises. Mais depuis, l’application n’a pas été mise à jour. Contacté par La Voix du Nord, l’opérateur de transports a répondu dans un premier temps que “la personne en charge de ces dossiers est en congés”. Damien Bancal, qui assure n’avoir eu “strictement aucune réponse” de Transpole-Keolis, a transmis tous les détails techniques à la Commission nationale de l’informatique et des libertés (CNIL).

Mise à jour le 27 avril à 16h38 – Finalement, la société a décidé de réagir ce vendredi, suite à la publication de l’article de La Voix du Nord vraisemblablement. Dans un communiqué, Transpole assure avoir lancé un audit « dès signalement par le voyageur » qui a « confirmé des vulnérabilités dans l’application ». L’opérateur de transports précise aussi que la faille de sécurité ne concerne que les données personnelles et n’atteint pas les coordonnées bancaires. « La résolution de ces failles étant complexe, Transpole (….) a décidé par mesure préventive de suspendre l’accès à l’application Pass Pass Easy Card », peut-on enfin lire dans le communiqué.

 

Source: Capital.fr

Publicités

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Revenir en haut
%d blogueurs aiment cette page :