BFM Business

Vélib': les données des clients mal protégées?

Des Vélib' dans Paris (illustration).

Des Vélib' dans Paris (illustration). - BFM Paris

Plusieurs spécialistes pointent des défauts de conception du site officiel de Vélib’. Une faiblesse de sécurité a été détectée en début de semaine. Sur son site, Smovengo se dédouane par avance.

En plein fiasco du nouveau Vélib’, l’opérateur Smovengo pourrait faire face à un nouveau front: celui de la sécurité de son site Web, Vélib’ Métropole. L’entreprise, désormais éditrice du site officiel du service de location de vélos, est visée sur Twitter par Sébastien Le Gall, développeur informatique. Sur son compte, il publie une capture d’écran correspondant à une page d’erreur du site de Vélib’. On y retrouve des bouts de code, incluant un identifiant d’utilisateur et un mot de passe. Des données potentiellement sensibles.

Une erreur “de débutant”

S’il est fréquent que certains sites Web affichent des messages d’erreur, ces derniers doivent normalement se limiter à quelques mots, précisant par exemple un code d’erreur. Dans le cas de Vélib’, la page affiche l’erreur de manière explicite. Le code source a été soumis par BFM Tech à quatre développeurs professionnels, dont la conclusion est identique: permettre l’affichage de ces erreurs “en production” (c’est-à-dire face à l’utilisateur final) est une faute “de débutant”.

La nature de l’erreur elle-même est révélatrice d’un manque de moyens dans le déploiement de la plateforme Web. Elle est apparue après l’envoi d’un mail à l’ensemble des utilisateurs du service, dont beaucoup ont cliqué sur le lien présent dans le message. Les serveurs du site n’ont pas été capables de supporter l’affluence massive d’internautes au même moment. Une affluence pourtant prévisible par les auteurs du mail.

D'autres problèmes de confidentialité ont été rapportés par des utilisateurs, cette fois sur le terrain. En janvier, un internaute affirmait avoir pu accéder aux comptes - et aux codes secrets - de plusieurs autres usagers en passant son badge sur une borne à plusieurs reprises.

Smovengo déclinera toute responsabilité

A ce stade, les informations rendues publiques par le site de Vélib’ ne sont pas suffisantes pour mettre en danger les données sensibles des clients. Elles pourraient cependant servir de base pour des individus mal intentionnés. Surtout, cette faiblesse des infrastructures et ces “légèretés” dans le code informatique peuvent laisser présager d’autres soucis. Des problèmes symptomatiques “d’un certain amateurisme, et d’un projet informatique (et plus généralement du projet Vélib’ Métropole) sous-estimé en matière de coûts et de temps”;, regrette Sébastien Le Gall auprès de BFM Tech.

Contactés ce lundi 30 avril, les administrateurs du site Vélib’ Métropole n’ont pas apporté de réponse à ce jour. Pour les clients, il ne faudra pas espérer se retourner vers Smovengo en cas de piratage. Dans ses mentions légales, l’entreprise précise qu’elle décline toute responsabilité “pour toute survenance de bogues” et “pour tous dommages résultant d'une intrusion frauduleuse d'un tiers ayant entraîné une modification des informations mises à la disposition sur le site ; et plus généralement de tout dommage direct et indirect, quelles qu'en soient les causes, origines, natures ou conséquences en ce y compris notamment les coûts pouvant survenir du fait de l'acquisition de biens proposés sur le Site.” Les clients sont prévenus.

https://twitter.com/GrablyR Raphaël Grably Chef de service BFM tech