Post-mortem: LA SNCB met en ligne les coordonnées de 1.400.000 clients

Update: 29 Dec 2012

Ce samedi 22 décembre, un internaute lambda utilisait Google pour confirmer l’adresse d’expédition de ses cartes de voeux. A sa grande surprise, Google lui retourne dans les résultats de recherche un fichier contenant 1.460.734 clients de la  SNCB-Europe, avec leurs noms, adresse e-mail, adresse postale, téléphone(s), date de naissance et identifiant de connexion (mais pas le mot de passe). Pas de hacking, juste une ENORME bévue de la SNCB, qui a placé sur son site public un document qui aurait dû être traité selon la législation en vigueur.

Le plus étonnant est la réaction de la SNCB qui, au lieu de présenter ses excuses et de jouer la transparence, se retranche dans une attitude du type “c’est pas moi, M’sieur”, digne d’une cour de récréation. Débusquons donc les allégations fantaisistes de la SNCB. Une superficielle analyse technique démontre que la SNCB veut volontairement noyer le poisson.

“L’utilisateur a usé d’un stratagème”

Pour autant, évidemment, qu’on puisse considérer l’usage basique de Google comme un stratagème. En l’occurrence le fichier avait été indéxé par Google et Bing, les deux moteurs de recherche les plus utilisés. Ces moteurs choisissent les pages qu’ils indexent sur base d’un fichier “Sitemap” créé par le propriétaire du site. Dans le cas de la SNCB,  ils sont définis dans le fichier “robots.txt”. A un moment donné, le fichier litigieux a donc été mentionné dans  le Sitemap pour qu’il soit indexé. La SNCB n’a pas protégé l’accès au fichier. Sans doute quelqu’un croyait-il qu’il suffisait de ne pas créer de lien visible pour qu’il soit dissimulé. Mais s’il est mentionné dans le Sitemap, il n’est donc plus tout à fait invisible.

“Quelques milliers de clients concernés”

De nombreuses sources concordantes confirment que le fichier contient 1.460.735 lignes. Il s’agit d’un fichier “plat”, de type texte. Comme souvent, la première ligne de ces fichiers contient la liste des colonnes (champs) de la base de données. Reste donc 1.460.734 personnes dans le listing. Outre quelques célébrités, on y trouve aussi 7.000 fonctionnaires et dirigeants d’institutions internationales (Commission, Parlement et Conseil européens, Otan,…). Xavier Damman a réalisé une excellente analyse statistique des données.

“Disponible pendant quelques heures le samedi après-midi”

Le fichier avait été inséré dans le cache de Google le 2 décembre, et le 21 novembre dans celui de Bing. Il était donc en ligne depuis le 21 novembre 2012, au moins.

Suis-je concerné ?

La question de savoir si on est repris dans le fichier est judicieuse, mais la réponse comporte de nombreux aspects. D’une part, pour le meilleur et pour le pire, la SNCB a retiré le fichier de son site Internet, retirant de la même façon “l’arme du crime” et donc toute possibilité de contrôle par le citoyen. A sa décharge, reconnaissons que laisser le fichier en ligne aurait encore aggravé le préjudice. Ceux qui possèderaient une copie du fichier sont dans une position difficile également. Le mettre en ligne les exposerait à commettre un acte illégal, exactement comme la SNCB. Vous pouvez cependant vérifier si vous figurez dans le fichier via l’application de Frédéric Jacobs.

D’après la législation en vigueur, c’est le propriétaire du fichier qui doit vous indiquer si vous y figurez ou non. En même temps, la SNCB se retrouve juge et partie. On l’imagine cependant mal donner la corde pour la pendre. Par ailleurs, la communication émanant de la SNCB Europe est emplie de mauvaise foi. Il y a donc un manque de confiance légitime. Il serait plus judicieux qu’un tiers neutre puisse confirmer (ou infirmer) la présence de personnes sur la liste. La Commission pour la Protection de la Vie Privée me semble toute indiquée.
A  ce stade, le conseil est d’interroger la SNCB Europe. Soit vous utilisez leur formulaire en ligne, soit vous envoyez  un e-mail à int.apresvente[AT]sncb.be, de préférence pourvu d’une signature électronique, qui pourra avoir plus de poids devant un tribunal. Parallèlement, le conseil est d’également introduire une plainte, à titre conservatoire, auprès de la Commission pour la protection de la vie privée. Elle dispose déjà d’une copie du fichier. Si vous y figurez, la Commission doit pouvoir confirmer les dires de la SNCB.

Les conséquences

La communication de la SNCB n’est finalement pas aussi désastreuse que ça, pour elle s’entend. Elle a habilement utilisé le manque d’esprit critique et de volonté d’investigation qui caractérise une bonne partie de la presse belge, qui a répercuté sans commentaire les affirmations du porte-parole de la SNCB. Il aura fallu plus d’une semaine, et de nombreux billets tels que celui-ci pour que la presse se rende compte de l’ampleur de la fuite et des mensonges répétés de la SNCB.

Les dommages pour les personnes figurant dans le fichier sont mutiples. Outre que leurs coordonnées privées ont été vues par des personnes non-autorisées, elles ont aussi été indexées dans d’autres moteurs de recherche de personnes, tels Yatedo. Elles peuvent aussi s’attendre à une nette augmentation du spam qu’elles recevront dans les prochaines semaines. Un tel fichier, contenant des adresses e-mail et postales validées à une valeur commerciale non-négligeable, particulièrement dans des pays où la protection de la vie privée n’a que peu de valeur. L’usage mal intentionné, tel le harcèlement par e-mail, téléphone, voire à domicile est un risque réel.

On oublie souvent de signaler que le fichier inclut aussi l’identifiant de connexion (login_id) des personnes. Pas le mot de passe. Cependant, ils ne devraient pas être trop difficiles à deviner pour un hacker confirmé (attaque de type “dictionnaire”). Il peut dès lors se faire passer pour quelqu’un d’autre. L’honnête homme que je suis à beaucoup de mal à imaginer tout ce qu’il y a moyen de faire en usurpant une identité. Les criminels, les terroristes, eux, ont certainement des idées.

Le premier conseil à donner à ceux qui ont commandé des billets via la SNCB, c’est de changer immédiatement leur mot de passe et d’en choisir un qui ne soit pas devinable. Même cela, la SNCB n’a pas jugé utile d’en informer ses clients.

Parallèlement, le député fédéral Ronny Balcaen (Ecolo) envisage de poser une question parlementaire au ministre de tutelle.
On espère que la CPVP enverra un signal fort pour qu’une telle erreur de débutant ne se reproduise plus, en sanctionnant de manière exemplaire. A tout le moins, cela démontre la nécessité de conscientiser tous les échelons de l’entreprise à la nécessité de respecter les prescrits légaux en ce qui concerne la protection de la vie privée sur Internet.
Au niveau politique, le message est que le problème de protection la vie privée n’est pas seulement avec des entreprises étrangères, telles Google et Facebook. Cela se passe aussi en Belgique. Il faut donc donner les moyens nécessaires à la CPVP pour faire appliquer la loi.

N.B. 1 Avant qu’on ne me flingue pour m’être trompé dans l’acronyme, je précise que “SNCB” dans le texte ci-dessus fait référence à la filiale SNCB-Europe du groupe SNCB. Le nom a été raccourci pour la facilité de lecture. 

N.B.2 J‘avais envoyé un message à webmaster[AT]b-europe.com et  au CERT dès que le problème a été constaté le 22 décembre. L’e-mail à la SNCB m’a été retourné, l’adresse n’existant pas. Encore une preuve supplémentaire d’amateurisme. La norme RFC 2142 précise que: “organizations which support email exchanges with the Internet are encouraged to support AT LEAST each mailbox name for which the associated function exists within the organization”. 

Leave a comment ?

17 Comments.

  1. J-500 : Don’t panic & Café Numérique » Jailbroken - pingback on 25 January 2013 at 17:06
  2. Autre exemple d’amateurisme de la SNCB, du 18/12/2012. Voir ci-dessous leur meaculpa.

    ——————
    Cher client,

    Suite à une erreur technique dans notre plateforme d’envoi emails, vous avez reçu plus tôt dans la journée une confirmation d’inscription à notre newsletter.

    Nous vous présentons nos excuses pour ce désagrément et vous confirmons que vous n’êtes PAS inscrit dans notre base de données. Vous ne recevrez dorénavant plus d’emails de notre part.

    L’équipe SNCB Europe

  3. .:[ d4 n3wS ]:. » Leak : grosse gaffe de la SNCB - pingback on 4 January 2013 at 10:07
  4. L’affaire SNCB prend de l’ampleur | francbelge - pingback on 2 January 2013 at 17:19
  5. NMBSgate: Operatie doofpot mislukt » datapanik.org - pingback on 2 January 2013 at 14:00
  6. Incompétence et légèreté à la SNCB | francbelge - pingback on 30 December 2012 at 22:40
  7. Pouvez-vous m’envoyer ce fichier ? Si je me retrouve dessus ainsi que ma famille, j’intenterai une action en justice contre la SNCB.

    Bien à vous,

    Yves

    • Malheureusement, il ne m’est pas possible de vous fournir le fichier, quand bien même celui-ci serait encore en ma possession. Comme expliqué dans le billet ci-dessus, toute personne qui transmettrait le fichier se rendrait coupable de la même infraction que la SNCB. La seule procédure légale est d’interroger la SNCB.

  8. La communication des journaux : le cas SNCB-Europe | mart-e - pingback on 26 December 2012 at 22:20
  9. Nicolas Villatte

    L’impact ne se limite pas à du spam de nature commerciale, mais peu s’étendre par exemple à de l’usurpation d’identité et à une campagne de spearphishing pouvant conduire à la visite de sites malicieux qui ressembleraient à celui de la SNCB et qui voleraient des données d’authentification, l’installation un maliciel et la fraude de données bancaires / carte de crédits.

  10. Je me demande comment ce document à été référencé dans les moteurs de recherches. Le lien devait se trouver sur un site (sur une page, un mail, google is watching you). Ton histoire de sitemap ne me semble pas crédible.

    • Le sitemap est le moyen le plus efficace pour un webmaster d’avoir quelque contrôle sur l’indexation robotique. Il permet effectivement de faire référencer une page sans qu’il y ait besoin de lien à partir d’une autre page du site. Dans le cas de B-Europe, ils utilisent 4 sitemaps, un par langue du site. La référence est dans leur fichier robots.txt mentionné ci-dessus. Le problème, je crois, est que les sitemaps sont en général produits par des outils, de manière automatique. Sans vérification, ils incluent tous les fichiers présents dans l’arborescence sur le serveur.
      Voir par exemple: /sitemap.xml

      • Toujours pas convaincu 😉 Leurs sitemaps ne contiennent que des pages de leur site (comme la majorité des sites). Le fichier incriminé ici est un .txt.

        • Un site map ne doit JAMAIS afficher l’arborescence des fichiers du serveur.
          Il ne doit afficher que les URI accessibles, donc si vous utilisez une réécriture d’url les url sources ne devront jamais se retrouver dans le fichier sitemap.
          Sinon c’est une énorme faille de sécurité…

  11. L’information semble venir de l’association NURPA, donc j’avais déjà entendu parler à l’époque d’HADOPI en belgique…

    http://nurpa.be/actualites/2012/12/SNCB-fuite-donnees-personnelles

    Affaire à suivre, j’espère qu’ils feront d’autres communiqués avec les mises à jour sur l’affaire !

    Quelqu’un sait-il s’il est possible de porter plainte, et auprès de qui ?

    • NURPA a fait un très bon travail de rectification après que la presse ait été informée, et que cela ait été discuté sur le forum ADSL-BC.org, d’où provient une bonne partie des infos ci-dessus. J’ignorais que NURPA avait fait le même type de billet en parallèle. Pour les plaintes, comme indiqué c’est la Commission pour la Protection de la Vie Privée qui est compétente.

Leave a Comment


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Trackbacks and Pingbacks: