SNCF : Pas de problèmes de sécurité... ou presque

Dans son dernier mail aux abonnés grand voyageur la SNCF incorpore un lien comprenant l'ensemble des paramètres de connexion des abonnés en clair (login et mot de passe). Une pratique qui va à l'encontre de toutes les règles de sécurité modernes...

Officiellement la SNCF n'a pas de problèmes de sécurité. Ses données sont protégées, son site web Voyages-SNCF est blindé et les pratique de sécurité des sites web maison sont au fait de l'art. Alors une simple question vient à l'esprit. Pourquoi dans son dernier mail aux abonnés grand voyageurs la SNCF envoie-t-elle un lien de consultation de compte contenant en clair l'ensemble des login et mot de passe nécessaire pour se connecter ?

"Votre relevé de s'miles se met au vert" indique le message en question. On aurait surtout aimé qu'il reste au placard. Car non content de fournir le numéro grand voyageur de l'abonné, il contient aussi le mot de passe de connexion en clair dans le lien joint, de quoi permettre à un individu mal intentionné, qui intercepterait le mail ou aurait un accès illégitime sur le PC du destinataire, d'accéder à l'ensemble des informations personnelles de l'abonné (adresse, téléphone privé...), mais aussi éventuellement d'utiliser ses authentifiants pour réserver un billet de train.

sncf

sncf2

En ces temps ou abondent les techniques de hacks, les chevaux de Troie et autres joyeusetés, c'est au mieux un oubli, au pire un aveu d'incompétence noire, qui peut permettre de douter des pratiques de sécurité tant vantée par notre transporteur ferroviaire favori. Il y a des jours où l'on aimerait que ses services Internet fonctionnent aussi bien que ses TGV...

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)