Via Embruns, un lien vers cet article de quechoisir.org : Données privées, la sécurité déraille, dont un petit extrait suffit à faire froid dans le dos :

Un problème de protection des données sur le site Internet de la RATP a permis tout cet été à n'importe qui d'accéder à des centaines de formulaires pré-remplis. La régie était au courant, mais n'a rien fait.

Des centaines de formulaires d'adhésion au service Navigo de la RATP avec, sur chacun d'entre eux, la photo du demandeur, ses nom, prénom, adresse postale, courriel et numéro de téléphone. Voilà ce à quoi pouvaient avoir accès les internautes il y a encore quelques jours sur le site Internet de la RATP (voir exemple ci-dessous). Pour cela, pas besoin d'être un petit génie de l'informatique. Un peu d'imagination et quelques clics suffisaient pour avoir accès à ces données privées.

Lire l'article entier de quechoisir.org...

On rappellera pour mémoire que le système "Navigo" de la RATP s'est vu attribuer un Prix Orwell 2002 lors des Big Brother Awards France. Voici les détails motivant la nomination de Navigo pour ce ''Prix Orwell'.

On rappellera aussi que les lyonnais ne sont pas mieux lotis, avec leur équivalent local, la carte Tecely, qui ne permet pas seulement de prendre le métro et louer des vélos, mais qui a elle aussi été nominée aux BBA pour des raisons similaires.

Ce qui est marrant, c'est que les râleurs "habituels" se font toujours, de prime abord, traiter de joyeux paranoïaques, et qu'ensuite après coup plus personne ne moufte quand on découvre des autobus, si j'ose dire...

Il se pourrait d'ailleurs que le site web de la RATP ne soit pas le seul dont l'application ait été testée avec les pieds, comme en témoignent ces deux copies d'écran de deux beaux crashes de l'applicatif web de Velo'v, dont un très bel "Overflow !".[1]

Overflow sur site ''Velo'v''

Pour celui-ci, obtenu involontairement, trop facile, il suffisait, comme identifiant de compte, de taper son n° de carte TCL (12 chiffres) au lieu de son n° de carte Velo'v (6 chiffres). Et boum !

Crash date sur site ''Velo'v''

Pour celui-là, quand on consulte son compte, on a deux boîtes à liste permettant de choisir une date Mois / Année, dont les valeurs par défaut sont "--". Il suffit de valider sans choisir de date, en laissant bourrinement les tirets et badaboum, l'applicatif se gaufre.[2]

Des plantages aussi grotesques prouvent que ça, c'est de l'applicatif qu'il a été testé avant d'être mis sur le vaste Internet à la disposition du public. Ca se voit ! (Mais la S.S.I.I. n'a pas du se priver pour facturer...)

Quant à moi, je n'ai même pas facturé le test et le rapport du problème au service technique. Je suis trop con, tout de même, hein?

(Ah, sinon, la saisie de l'identifiant / mot de passe se fait également sur une page ordinaire, non chiffrée SSL. Sécurité, quand tu nous tiens...)

Maintenant, petit test. La RATP ne corrige pas quand on leur dit. Velo'v fera-t-il mieux ?

Addendum 14:44 : En réponse au premier commentaire d'Yves, en effet, ça paraît nécessaire :

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(Journal Officiel du 7 janvier 1978 )

Article 29

Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Puis Code Pénal, article 226-17 :

Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende.

Je me demande si ces belles pétitions de principe ont jamais donné lieu à la moindre condamnation, en pratique... Quelqu'un sait ?

Notes

[1] Et que nul ne vienne me chercher noise en justice au motif scabreux que je publierais des vulnérabilités pour permettre un crackage ou quoi que ce soit. J'ai transmis ces deux copies d'écran au support technique de Velo'v le jour même où je les ai prises (août 2006), avec description précise de ce qui permettait de provoquer le plantage. Maintenant, à eux de corriger leurs bugs, hé oh, je ne suis pas Mère Thérésa, non plus ! D'ailleurs, je ne prétends en rien que ces plantages démontrent qu'il soit possible d'atteindre via le site web des données personnelles d'abonnés Velo'v. Mais une application que l'on plante aussi facilement n'inspire guère confiance en termes de sécurité, hmmmm...?

[2] Si jamais je chope un programmeur que j'ai formé moi-même à livrer un programme dans cet état, je lui coupe les c... et je les lui fait bouffer. Juste pour prévenir certains, au cas où, bien qu'un tel cas de figure soit purement théorique... ;-)