Après le coup de l'erreur technique, celui de la faille de sécurité. Hier, le site officiel de la SNCF a mis en ligne un message avertissant de la survenue d'un terrible accident ferroviaire. Une erreur de publication pour un exercice de gestion de crise qui aurait dû rester interne. Loi des séries oblige, le Canard enchaîné révèle aujourd'hui l'existence d'une vulnérabilité de sécurité qui a touché Voyages-sncf.com, le site de réservation de billets de la SNCF.

La faille est désormais colmatée mais elle a mis en péril des données personnelles de clients. Avec quelques connaissances informatiques, le détenteur d'un numéro d'une carte de réduction ( 12-25 ans, Senior, Escapade ) pouvait accéder à plusieurs de ses données personnelles ainsi qu'à celles des autres clients : nom, prénom, date de naissance, adresse, numéro de téléphone. Certes et fort heureusement pas de données bancaires, mais tout de même de quoi avoir en sa possession un listing client potentiellement lucratif.

On ne sait pas si la faille a été exploitée par des individus mal intentionnés. Mi-2008, le Canard enchaîné avait déjà mis en cause la sécurité du site sur la base d'une note interne confidentielle. S'excusant pour une panne matérielle et logicielle qui avait rendu inaccessible le moteur de réservation de billets de train, Voyages-sncf.com avait assuré que cette panne n'avait pas affecté " la sécurité des transactions ou la confidentialité des données personnelles confiées ".

Dans les bilans de l'e-commerce en France de la Fevad, Voyages-sncf.com apparaît régulièrement aux avant-postes des sites les plus visités.