«SNCB Gate» – Un eurodéputé fait partie des clients piégés
Publié

«SNCB Gate»Un eurodéputé fait partie des clients piégés

LUXEMBOURG - Alors que des données privées de quelque 3 700 résidents luxembourgeois ont fuité d'un fichier de la SNCB, «L'essentiel Online» s'est procuré le document pour le Grand-Duché.

«Très surprise», «légèrement amusé» ou «cela ne m'empêche pas de dormir sur mes deux oreilles». Voici les réactions de quelques-unes des 3 705 résidents du Luxembourg dont les noms apparaissent dans le fichier des clients de la SNCB, dévoilé par L'essentiel. Des réactions mitigées alors même que le fichier fait l'objet de toutes les critiques en Belgique, le ministre des Entreprises publiques, Paul Magnette, demandant «un rapport dans les plus brefs délais» sur cette fuite de données.

Parmi les personnes présentes dans le document pour le Luxembourg, consulté par L'essentiel Online, figurent différentes personnalités. Outre le nom et quelques données concernant la princesse Alexandra, déjà cités, le document contient également le nom de Frank Engel, eurodéputé CSV. Comme pour la fille du Grand-Duc Henri, un mail, une adresse et des éléments d'identification destinés à permettre la connexion sur le site de la SNCB sont consignés. Alors que le Palais, contacté par L'essentiel Online, n'a pas souhaité faire de commentaire sur ce sujet, l'élu européen s'est montré plus prolixe.

Nombreux noms de domaine d'institutions européennes et de sociétés

«Cela me laisse relativement de marbre, car cela ne m'étonne pas que de telles données soient collectées par de telles entreprises. En revanche, ce qui me gêne, c'est le risque potentiel créé en cas de présence de données plus sensibles comme des indications sur les habitudes diététiques ou de santé que détiennent les compagnies aériennes par exemple. Dans tous les cas, j'espère que ces fichiers sont mieux protégés qu'à la SNCB». Une réaction plutôt amusée de l'eurodéputé, donc, ce dernier ayant donné des informations professionnelles à l'entreprise publique belge. Ce qui est le cas de plusieurs centaines de personnes dont les noms figurent dans le document.

Des données qui pourraient toutefois être exploitées par des personnes mal intentionnées. Sur les 3 705 adresses mails présentes, plusieurs centaines de clients SNCB ont donné le nom de leur entreprise ou de l'institution pour laquelle ils travaillent. Education.lu, etat.lu ou bien encore europarl.europa apparaissent avec plusieurs dizaines d’occurrences chacun. Les noms de domaine d'entreprises privées comme PricewaterhouseCoopers, Deloitte sans oublier SES-Astra. Des données potentiellement exploitables par des hackers, désireux de nuire aux institutions étatiques ou aux intérêts de certaines entreprises stratégiques.

Partage des données clients entre CFL et SNCB

«Il y a un risque car cette base de données contient des mails ciblés et validés par la SNCB, indique Alexandre Delaunoy, expert du Circl Luxembourg, contacté par L'essentiel Online. Le principal risque concerne les tentatives de phishing et de spear phishing, à savoir l'envoi de mails pour tenter d'obtenir des données bancaires. Étant moi-même victime de ce fichier, je regrette de ne pas avoir reçu de la part de la SNCB un mea culpa, ni une annonce d'une vérification de sécurité de leurs bases de données». Une mesure de précaution d'autant plus nécessaire que les éléments présents dans le fichier remontent à plusieurs années et posent la question de la conservation des données. Et ce d'autant plus que la grande majorité des mails enregistrés, par exemple, correspondent à des mails privés.

Mais cette faille de sécurité, liée à une mauvaise manipulation de la SNCB qui a placé le fichier sur son site Internet sans cryptage, afin de le rendre disponible pour une action commerciale à un prestataire extérieur, est-elle possible au Luxembourg? Pour les CFL, cette hypothèse est purement et simplement impossible. «Comme la SNCB, nous possédons un fichier client mais ce dernier n'a jamais été utilisé pour faire des actions marketing, même si cela n'est pas interdit, indique Romain Meyer, porte-parole des CFL. Nous gardons au chaud nos données, à l'abri de tous les regards». Il n'empêche toutefois que des clients des CFL se retrouvent dans les bases de données de la SNCB de par le partage de la plateforme de réservation en ligne pour les voyages à destination de la Belgique, la France et les Pays-Bas. Et pour cause, les CFL et la SNCB ont signé un accord de partage du système de réservation pour les billets internationaux.

Jean-Michel Hennebert/L'essentiel Online

Ton opinion