Piratage IDF Mobilités : les identifiants de milliers de comptes d'usagers dérobés

Piratage IDF Mobilités : les identifiants de milliers de comptes d'usagers dérobés

Suite à une cyberattaque contre Île-de-France Mobilités, les adresses mails et les mots de passe de milliers d'utilisateurs des transports en commun franciliens ont été dérobés, compromettant leur compte.

Sale temps pour les usagers français ! Après Pôle emploi et Engie, c'est au tour d'Île-de-France Mobilités (IDFM), qui organise et finance les transports en région parisienne, de se faire pirater. L'autorité régionale des transports a indiqué le vendredi 6 octobre que son service Île-de-France Mobilités Connect, qui permet aux utilisateurs de gérer leurs forfaits et leurs contrats, leurs achats et leurs rechargement de titres, leurs recherches d'itinéraire, ainsi que leurs réservations de trajets en covoiturage sur les applications partenaires d'Île-de-France Mobilités, a été victime d'une tentative de piratage. "L'attaquant a collecté sur le Web de manière frauduleuse environ 4 000 adresses mail et mot de passe actifs, qu'il a utilisés pour se connecter aux comptes", explique le syndicat des transports d'Île-de-France dans un communiqué. Une bien mauvaise nouvelle, alors que les Franciliens réalisent chaque jours 9,4 millions de déplacements à travers les 1 500 lignes de bus, 14 lignes de métro, 9 lignes de tramways et 13 lignes de trains et RER de la région.

Piratage IDF Mobilités Connect : des milliers d'identifiants dérobés

IDF Mobilité indique avoir "été notifiée la 4 octobre de l'attaque", que son prestataire chargé de la sécurisation des paiements et des transactions Worldline a "constatée le 2 octobre". IDFM a demandé à ce dernier "de prendre les mesures techniques nécessaires pour mettre fin à cette tentative et le cas échéant, de prendre toute disposition supplémentaire pour renforcer la sécurité". Toutefois, elle n'indique pas ni le jour de l'attaque, ni le délai entre la collecte des données et les tentatives d'intrusion. Elle ne précise pas non plus si les comptes, dont les mots de passe ont été piratés, ont ensuite été utilisés frauduleusement ou non.

L'organisme a contacté les utilisateurs concernés par le biais d'un courrier type, les informant qu'ils allaient recevoir un courriel leur demandant de réinitialiser leur mot de passe, et les invitant à le faire "sans délai" – attention, il ne faut pas oublier d'aussi modifier ceux des différents comptes utilisant le même. Comme le veut la procédure, IDFM a porté plainte auprès du procureur de la République pour collecte frauduleuse de donnée. Elle a également notifié la Commission nationale de l'informatique et des libertés (CNIL) de cette violation de données personnelles et la tiendra au courant des évolutions de la situation.