SNCBgate: "Une erreur lors d'une opération de maintenance exceptionnelle"

Copie d'écran du site de la SNCB
Copie d'écran du site de la SNCB - © Belga

Les représentants de la SNCB (qui ont rencontré ce vendredi la Commission de protection de la vie privée à la suite de la mise "online" pendant six mois de données personnelles d'usagers sur le site de la SNCB Europe) ont défendu la thèse de l'erreur humaine. D'autres réunions sont prévues mais la Commission a déja formulé des recommandations pour que de tels incidents ne se reproduisent pas.

Le rapport d'enquête interne de la SNCB a conclu à une divulgation purement accidentelle des informations concernant environ 1,4 million de clients.A ce jour, 1700 plaintes ou demandes d'information de clients concernés ont été déposés auprès de la commission. Suite à cette "fuite" de données, la SNCB a fait mener un audit pour en déterminer l'origine.

Les résultats de cette enquête ont été présentés aux représentants de la commission de protection de la vie privée vendredi.

"Il y a eu dans une opération de maintenance une erreur qui s'est produite, donc on a extrait un fichier pour nettoyer une base de données et on a stocké ce fichier à un endroit où il ne fallait pas le stocker mais sans qu'il y ait d'alerte", a déclaré Stéphane Verschueren, le vice-président de la Commission de protection de la vie privée, suite à sa rencontre avec les représentant de la SNCB.

"Ce fichier est resté pendant six mois stocké à cet endroit. On n'a eu accès publiquement à ce fichier qu'au mois de décembre mais il se trouve sur ce site non sécurisé depuis le mois de mai. Donc là il y a un problème de maintenance, de gestion et sécurité de l'information pour une opération exceptionnelle de maintenance", constate-t-il. "Mais cela ne veut pas dire que les traitements quotidiens sont mal sécurisés, on ira pour cela voir ce qui se passe à la SNCB, on leur donnera de bons conseils pour qu'ils agissent au mieux".
 
"Le mauvais bouton au mauvais moment"
 
La piste d'une erreur technique d'un employé de la SNCB Europe est donc désormais la thèse officielle. Cette personne, qui apparemment a été identifiée, n'avait pas d'intention malveillante mais aurait, affirme une source interne à la SNCB, simplement appuyé sur le mauvais bouton au mauvais moment.

La SNCB travaille d'ores et déjà à mettre en place des barrières informatiques qui éviteront à l'avenir qu'une telle erreur de manipulation technique arrive à nouveau.

À côté des conclusions de cet audit interne, la SNCB doit transmettre un rapport plus circonstancié sur la fuite de données à Paul Magnette (PS), le ministre des Entreprises publiques.

SNCB, la Défense... la sécurité sur internet encore en question

Avec le "SNCBgate" et les coordonnées des employés de l'armée belge disponibles sur le web, c'est toute la sécurité sur internet qui pose à nouveau question. 

Et c'est le même blogueur à l'origine de l'affaire de la SNCB, qui affirme avoir utilisé la même méthode avec le fichier de la Défense: à savoir, pas du piratage, mais de simples recherches ciblées de mots clés sur un moteur de recherche. "C'est possible !", réagit Olivier Bogaert, inspecteur à la Computer Crime Unit de Bruxelles. "Simplement parce que Google, le moteur de recherches et les outils qui sont utilisés pour l'indexation vont accéder à des serveurs sur lesquels sont hébergés des site web. Mais si d'autres données sont également présentes sur les serveurs en question et qu'il y a une absence de cloisonnement entre les répertoires qui contiennent le site web et les répertoires qui contiennent d'autres données".
 
En gros, "si on n'interdit pas à Google d'aller faire un petit tour là-bas, il va effectivement également indexer les autres contenus de ce serveur et il va les rendre éventuellement disponibles sur le net par l'intermédiaire d'une recherche pointue qui pourrait être effectuée".
 
Pour Olivier Bogaert, "on est en train de découvrir un certain nombre de faiblesses en matière de sécurité". Il en appelle à une sorte d'"inventaire" des documents qui sont à disposition sur le net "pour voir comment et quand ils ont pu s'y retrouver de manière telle qu'on puisse les retirer des serveurs et en tout cas, essayer de cloisonner l'information de manière telle qu'on n'ait pas un partage de trop d'informations sur internet". 
 
RTBF avec Belga

Et aussi

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK