Selon nos confrères du Canard Enchaîné, les données personnelles des millions de porteurs d’une carte de fidélité (numéro de carte de crédit non compris) seraient accessibles sans protection via le site Internet de l’entreprise. Seraient notamment disponibles les noms et prénoms, adresses, numéros de téléphone et dates de naissance des abonnés. En d’autres termes, tout ce qui est nécessaire pour mener à bien une attaque en « spear phishing » et collecter ainsi des crédences bancaires par centaines de milliers. Cette histoire duraille est dévoilée le lendemain de l’affaire de la « fausse attaque à la bombe ».
On ne peut qu’être étonné d’une telle perméabilité entre les ressources WAN et le réseau interne de la Société Nationale. Il reste à espérer que les ressources de la « régulation » (trafic des trains sur le réseau) est un peu plus protégé que ne l’est la vie privée des clients. Déjà cible régulière des professionnels du phishing, l’entreprise n’a jamais fait d’autres efforts pour combattre ces attaques que de publier un vague communiqué d’alerte camouflé à un énième niveau de l’arborescence de ses serveurs Web. Espérons que ce double raté sera l’occasion pour les RSSI de la « grande maison » de faire entendre leur voix et leurs revendications budgétaires, avant celles un peu plus tonitruantes des responsables du Marketing.