Publicité

RATP : les données de 57 000 employés étaient mal protégées

Les mots de passe étaient protégés par une méthode obsolète (illustration).
Les mots de passe étaient protégés par une méthode obsolète (illustration).

Une mine d?or laissée sans surveillance. Voilà, en quelque sorte, ce qu?ont découvert les experts de VPN Mentor, laboratoire de recherche d?un comparateur de réseaux privés virtuels (VPN). Comme le rapportent nos confrères du Parisien, ces spécialistes ont « scanné Internet » à la recherche de bases de données mal sécurisées et sont tombés sur un véritable trésor : des adresses mail, des identifiants de comptes internes, des mots de passe venus du serveur du comité d?entreprise de la RATP.

Le serveur HTTP du CE de la RATP, ouvert sans protection par mot de passe ni chiffrement, donnait l?accès à près de 2,5 millions d?informations, 1 Go de données, concernant 57 000 employés. Auprès du Parisien, VPN Mentor explique : « Notre équipe a pu voir les données personnelles d?identification qui appartiennent à des employés actuels ou à des retraités de la RATP qui travaillent ou ont travaillé au plus haut niveau de l?entreprise, dont ses dirigeants ou ses équipes de cybersécurité. » La sauvegarde, et donc les données qu?elle contient, date de 2018.

À LIRE AUSSICybersécurité : comment gérer tous ses mots de passe ?

Un système de protection daté

Le quotidien explique que la découverte a rapidement été transmise à l?Agence nationale de la sécurité des systèmes d?information (Anssi), qui a depuis mené des opérations de sécurisation. Les informations des employés de la RATP étaient complétées de mots de passe y donnant l?accès. Ceux-ci étaient protégés par « un hachage cry [...] Lire la suite