Chère Société Nationale des Chemins de fer Belges,
Le 22 décembre dernier, un internaute découvrait par hasard lors d’une recherche sur Google qu’une base de données contenant les informations de 1,4 millions de vos clients était publiée sur votre site web. Cette base de donnée, accessible depuis au moins un mois, était entièrement indexée par Google et Bing.
Je suis au nombre de ces clients. Certaines de mes informations personnelles privées sont donc devenues publiques par votre faute. Contrairement à d’autres, je ne m’en offusquerais pas outre mesure. En effet, l’erreur est humaine et, dans les années à venir, nous allons devoir apprendre à vivre avec des évènements de ce type de plus en plus nombreux.
Si l’erreur est humaine et acceptable, le déni et le mensonge ne le sont pas.
Votre devoir, en temps que responsable de ces données, était d’envoyer un email à toutes les personnes concernées en expliquant la situation et en détaillant, pour chacun, les informations concernées. Petit conseil : utilisez le champs copie cachée au lieu de copie simple. Je blague…
Loin de faire preuve de transparence et d’honnêteté, vous avez sciemment menti en prétendant que les données ne concernait qu’une petite quantité d’usagers. À demi-mot, vous laissiez également sous-entendre que l’internaute qui avait découvert l’affaire avait effectué des actions illégales. Ce qui est entièrement faux.
Un citoyen belge s’est ému de cet état de fait et a monté un site permettant à tout un chacun de vérifier si ses données étaient dans la liste. Ce service, c’est vous, la SNCB, qui auriez du le mettre en place. Un citoyen s’en est chargé de manière purement désintéressée. Remarquons que, dans un soucis d’éthique qui ne fut pas le votre, son site ne permet pas d’accéder aux données proprement dites. Il permet juste de vérifier si, oui ou non, vous êtes concerné. En temps que membre du Parti Pirate, parti politique dont les valeurs sont la transparence et le respect de la vie privée, j’accorderais volontiers à l’auteur de ce site une médaille de citoyenneté.
Apprenant cette initiative, votre première réaction a été de déclarer que vous étudiez les possibilités de poursuites légales à l’encontre de cette personne, sans même avoir pris la peine de la contacter.
Si telle est est bien votre intention, je vous saurais gré de bien vouloir d’abord attaquer les deux sites qui ont rendu ces données publiques : Google et Bing, ce dernier appartenant à Microsoft.
Quoiqu’il en soit, ces données sont publiques, prenons acte. Elles ont certainement déjà été vendues à des centaines de spammeurs et d’arnaqueurs en tout genre. Dans les semaines qui viennent, les hotlines d’Amazon et d’eBay vont être envahies d’appels de personnes ayant « oublié » leur mot de passe mais pouvant prouver leur identité avec leur adresse postale et leur numéro de téléphone.
En cas d’incendie, le premier réflexe est d’évacuer l’immeuble et d’appeler les pompiers, pas d’attaquer en justice la personne qui a crié « Au feu ! ».
Que votre service informatique aie fait une énorme boulette, je peux le concevoir. Que cette erreur soit restée non détectée pendant un mois, passe encore. Mais que votre direction fasse preuve d’une telle stupidité suffisante c’est une chose que je ne peux admettre. Cette direction qui défraie chaque année la chronique par l’ampleur des bonus que s’octroient les dirigeants.
Mais je crois que cette direction et moi faisons partie d’une autre génération, d’un autre monde. Dans 10 ans plus les retards, ballonnée de fierté, elle inaugurera en grande pompe la première rame de RER que je regarderai circuler à vide depuis les voitures autonomes partagées que je décrivais dans un article précédent.
En ces premières heures de l’année nouvelle, cette affaire aura au moins eu le mérite de m’ouvrir les yeux sur une triste réalité : malgré le travail quotidien de votre personnel, de l’accompagnateur à l’informaticien, vous êtes en train de devenir obsolète.
2013 sera l’année où vous saurez vous réinventer, vous adapter. Ou l’année où vous condamnerez vous-mêmes votre avenir et clouerez le premier clou de votre cercueil.
À vous de choisir et de nous le prouver par vos actions !
Photo par Sergio Ziliotti
The Lettre ouverte aux chemins de fer belges by Lionel Dricot, unless otherwise expressly stated, is licensed under a Creative Commons Attribution 2.0 Belgium License.
J’ai vu le reportage à la télé, je me suis dis devant mon poste : “Oula, il prend des risques, ils sont assez de mauvaises fois que pour l’attaquer lui en Justice plutot que de corriger leurs erreurs…”
Bonjour,
Je ne connais pas Frédéric Jacobs et pourtant je lui fais confiance, même si je sais que ce “fameux” fichier est en sa possession. Il a agit à visage découvert et même publiquement puisqu’il s’est expliqué au JT de 19h30 de la RTBF ! A revoir là http://www.rtbf.be/info/medias/detail_etes-vous-sur-le-fichier-sncbgate?id=7900347
Grâce à son application j’ai appris que j’étais deux fois présente dans les données de SNCB Europe : avec mes coordonnées actuelles, et avec des informations périmées depuis environ 4 ans ! Donc non seulement l’accès à ce fichier n’était pas sécurisé, mais les données qui y sont listées ne sont même pas tenues à jour…
A titre personnel, je ne me soucie pas trop des conséquences de cette affaire (très active sur le Web depuis 1999, je n’ai jamais eu d’autres soucis qu’un peu de spam… un peu de chance sans doute, mais surtout le respect des règles élémentaires de prudence).
Ce qui me met particulièrement en rogne, c’est d’une part l’attitude irresponsable de SNCB Europe (et irrespectueuse de ses clients, contrairement à ce que ses portes-parole affirment !), et le grand silence du monde politique.
Merci pour cette lettre ouverte, Lionel. Je l’approuve et la soutiens totalement.
Amicalement,
Monique
Entièrement d’accord avec le début du texte. Mais l’article aurait du s’arrêter après la phrase:
“En cas d’incendie, le premier réflexe est d’évacuer l’immeuble et d’appeler les pompiers, pas d’attaquer en justice la personne qui a crié « Au feu ! »”
Il m’est plus difficile d’adhérer (donc de relayer) au texte pourvu des 5 derniers paragraphes:
Peut-etre que la SNCB deviendra obsolète, et il est tout à fait possible que son conseil d’administration s’illustre tristement par son manque de clairvoyance, mais quand bien même tout cela serait vérifié, tu affaiblis ton propos en adoptant un ton inutilement agressif et en introduisant des sujets connexes qui amènent une conclusion qui n’a plus vraiment de rapport avec le début de l’article.
J’adore la blague sur les mails en copie cachée
Plus sérieusement, les “boulettes” de ce genre pourront effectivement de moins en moins passer dans le monde qui arrive.
Une typo : saurez gré => saurais gré.
Et je ne comprends absolument pas la phrase débutant par “Dans 10 ans plus les retards”. Cafouillage syntaxique ?
As someone who has been forced to used the SNCB’s services for too many years and is therefore familiar with the anti-consumer subculture that exists within that company, it wouldn’t surprise me one bit if IT security is taken care of by the 8-year-old nephew of “the guy who does the stuff with the computers”.
Yes, I know, this can happen at any company. But it happening at SNCB is just too predictable.
Je rejoins l’avis de Christophe, et votre avis bien entendu, plutôt que de résoudre le problème, avertir chaque client visé, on préfère brandir l’arme juridique. Non seulement contre la personne qui a “révélé” cette erreur, ou encore Frédéric Jacobs, mais aussi contre chaque personne ayant été en contact avec le fichier. Ceci est un scandale ! Non seulement pour certain, ils sont victimes, mais en plus la menace judiciaire plane sur eux pour avoir eux la nécessité de vérifier dans les premières heures, si oui ou non elles faisaient partie du fameux fichier.
Bonjour, Juste une chose qui m’a fait tiquer : Google et Bing n’ont pas mit ces données en ligne, seule SNCB est condamnable dans cette histoire.
En effet, c’est elle qui a mise en ligne cette page publique, qui a donc pu être indexée.
Nombre d’entreprises usent de la non-indexation des pages, c’est à dire qu’on les mets dans une partie “cachée” d’internet, et elles sont accessibles par les seules personnes qui ont l’adresse de la page.
Les moteurs de recherches comme ceux précédemment cités n’auraient pu voir ces infos si cela avait été fait.
Microsoft n’est donc pas en tort, mais bien la sncb. cqfd !
Jolie lettre ouverte, une petite baisse de régime sur la fin et quelques erreurs légères ne peuvent lui retirer sa substance.
Puisque cette lettre ouverte est publique, j’en profiterai pour la répandre…. comme la SNCB a répandu mes données privées !
La SNCB imagine pouvoir tout réparer avec son service juridique, en tapant sur ce qui est à sa portée : les bien intentionnés astucieux d’une part et les mal intentionnés débiles d’autre part. Et le fait que les clients ne comptent pas reste une constante.
Notons que la STIB utilise les mêmes armes. La carte Mobib contient une puce RFID avec des données à caractère personnel accessible en lecture sans authentification, donc accessibles à tous à l’insu du porteur de la carte. Mais la STIB juge que le fait qu’autrui lise les données de la carte soit illégal est une protection suffisante de ces données.
(Comme le dit Vincent, les derniers paragraphes déstabilisent le texte, je pense.)
Tout comme @Vincent L, je trouve aussi que les derniers paragraphes affaiblissent le propos, selon la rhétorique en usage qui veut qu’une tournure agressive et/ou vindicative rend le propos moins pertinent.
Ce qui est stupide, débile, injuste et faux mais c’est comme ça : si tu traites un boulet de boulet, on en déduis que tu manques de mesure et partant, que ton propos est excessif. Même si c’est foncièrement un boulet.
Les propos connexes sont par contre hors-propos. Les carences structurelles de la SNCB méritent un article ou plutôt un blog ad hoc.
Cette réserve (qui n’en est pas une) émise, je ne peux que souscrire à cet article.
Je suis bien conscient que la fin est plus personnelle. Mais pour moi, cela n’en reste pas moins important car c’est justement la clé de tout. C’est un état d’esprit qui est profondément en retard sur la réalité technologique et qui empêche tout simplement le progrès. On en reparle dans 10 ans
Concerné pas la fuite, je ne me tracasse pas de trop vu que mes infos sont aussi sur la page contact de mon site pro.
Mais en effet, tirer sur l’outil me semble un bien mauvais signal et n’aide pas à l’apaisement.
Ps: je me suis permis de citer cet article sur mon blog TiltoScope
« Un citoyen s’en est chargé de manière purement désintéressée. »
Mouais, ça ça reste à prouver, mais bon, tout travail mérite salaire. Ceci est d’ailleurs du même ordre : « En temps que membre du Parti Pirate… » mais ça ne mange pas de pain.
Là par contre : « Apprenant cette initiative, votre première réaction a été de déclarer que vous étudiez les possibilités de poursuites légales à l’encontre de cette personne… », ils peuvent y aller. D’accord la détention d’une base de données sans l’autorisation des personnes concernées est illégale, mais Frédéric Jacobs ne la publie pas, lui, et en tant que responsable d’un site web, il fait partie de la presse aux yeux de la loi, il a donc le droit de détenir des pièces, d’en parler, pas de les utiliser. Mais il faudrait que les personnes listées se plaignent de lui, or elles n’ont aucune raison de le faire puisque ces données, il les protège. Il a aussi le droit de ne pas citer ses sources, mais elles sont parfaitement connues.
Tout ceci illustre finalement une chose : la nécessité de faire très attention quant à ce à quoi on s’engage lorsqu’on transmet ses données quelque part (comme ici).
Et sans doute la nécessité pour le législateur de se pencher attentivement sur ce qu’est le monde numérique au regard de la loi sur la vie privée.
Et ce n’est pas la première boulette…En fait ce sont des experts en boulette chez NMBS/SNCB, voir: https://blog.tuinslak.org/stopping-irail-be
Juste une question de relativité …. les données SNCB sont -elles plus intrusives que Google qui photographie ma maison, à mon insu, assure la publication et difficilement la suppression de ses données. Je m’interroge.
Indépendamment, que la gestion SNCB soit un gentil assemblage d’incompétent est une autre question bien plus grave.
Avec ou sans le dernier paragraphe, j aime beaucoup. Comme dirait Zola, tu as fait du bon brûlot.
Je tiens quand même à préciser une chose, je ne sais pas quelles sont les intentions de Frédéric Jacobs mais n’oubliez pas qu’en utilisant le SNCB Leak Checker, vous venez de vous inscrire dans une nouvelle base de données dans laquelle vous n’étiez pas présent ! En quelques jours il est possible de récupérer des milliers d’adresses e-mails de personnes qui se demandent à juste titre si leurs données n’ont pas été divulguées. Si demain vous recevez un mass mailing publicitaire ne vous étonnez pas !
Retour sur l’actu de Nov 2011 http://www.7sur7.be/7s7/fr/4133/Multimedia/article/detail/1537143/2012/11/20/Une-application-belge-qui-comptabilise-les-trains-en-retard.dhtml
…un coup de semonce resté sans suite. La SNCB s’est-elle penchée sur ces utilisateurs qui osent revoir le concept Top Down de service public? Pourquoi faut il brainstormer pendant des lustres pour s’apercevoir de la capacité d’innovation qui réside au sein de la communauté d’utilisateurs… et sera sans cesse amplifiée au fil de l’évolution numérique?
…OpenData …Crowdsourcing …Serious Gaming… une compréhension/vision du sujet, même minimale, aurait sans doute permis de transcender le plantage, de le transformer en démonstration d’évolution: un SNCB-led (post) hack-a-thon aurait très bien pu déboucher sur cette app. SNCBleak… ou SNCbleak… ah ah…
Souhaitons que ce b-fail.be secoue le pantographe encroûté de paresse intellectuelle… et vite.
Salut,
Entièrement d’accord avec ton propos de départ. La réaction de la SNCB est honteuse (il n’y a pas d’autre mot, ils devraient avoir honte). Saisir la justice alors que c’est le consommateur qui devrait le faire, ça me dépasse.
L’erreur est humaine et il faut vivre avec. Mais j’aurais apprécié de voir les personnes concernées par cette fuite recevoir un courrier (électronique ou non) avec les humbles excuses (potentiellement sincères) des responsables.
Veuillez ne pas lire ni copier ni utiliser ce qui suit .
CECI EST UN TEXTE CACHÉ PAR UNE TECHNOLOGIE DE POINTE DE LA SCNB NE PLUS LIRE JUSQUE XXX le login est sncbeurope password est 1234 XXX
@Louis:
Et pourquoi la notion de désintéressement n’est pas envisageable? La communauté du libre prouve chaque jour qu’on peut tout à fait partager ses compétences, ses techniques, ses solutions logicielles sans qu’il y ait forcément un aspect mercantile derrière. De plus, nombre d’associations luttant contre des maux aussi communs (hélas) que le racisme, la pauvreté, ou encore la censure le font par esprit de progrès, et non de bénéfice il me semble.
Au-delà de ça: nombre de grosses structures ne veulent même plus tergiverser et réfléchir à leurs erreurs. D’une, parce que ça remettrait en doute des décisions de cadres sup’ souvent armés d’une méconnaissance chronique du métier, mais au surplus surtout experts en baratin. De deux, parce que cela les forcerait aussi à privilégier la compétence à ceux qui savent cirer des pompes…. et là aussi, trop dangereux pour le planqué en costume qui, bien entendu, cherchera à améliorer les résultats de son entité non en tendant vers la qualité, mais au contraire en réduisant les coûts en prenant des gens mal formés, moins chers, et par voie de conséquence moins intéressés à ce qu’ils font.
Dernier point: ils utilisent aussi le juridique pour se couvrir. Ca paraît débile? Songez y: il est plus rapide et dissuasif de menacer d’un procès un “petit” (cf les affaires menant à des effets Streisand) que de réagir sur le fond et d’améliorer la situation. C’est ainsi… fainéantise et manque de courage sont les deux mamelles du pilotage de projet.
A force de lire et entendre qu’il suffisait de contacter SNCB Europe pour être informé, j’ai tenté le coup. Et le résultat est… surprenant https://plus.google.com/u/0/115929230560039879245/posts/5HdmzNVJdc8
Hello,
pourquoi tant de haine
?
Sans rire, sur le propos initial de l’article (Réaction par rapport à la diffusion de données personnelles de clients sur internet), je ne peux qu’être d’accord avec le point de vue défendu (tant du point de vue de “client” / “citoyen” … que d’employé du groupe SNCB … et travaillant dans l’unité ICT du groupe). Comme tu le soulignes très justement, c’est surtout l’attitude face à l’erreur qui est navrante.
Pour la suite de l’article, je suis par contre beaucoup plus critique. En effet, c’est toujours facile de critiquer “de l’extérieur” et de condamner “tous ces incapables qui n’en foutent pas une” du groupe SNCB … la réalité objective est tout autre.
Le groupe SNCB (actuellement composé de 3 entreprises publiques autonomes + une série de filiales spécialisées) est une stucture complexe qui par sa taille (42.000 employés uniquement pour les 3 entreprises principales), par son activité (faire circuler plusieurs milliers de train chaque jour sur un territoire relativement important mais surtout avec une haute densité du trafic) et par ses liens étroits avec le monde politique (entreprise publique normalement autonome = fortement liée au monde politique -> Marge de manoeuvre limitée et beaucoup d’hypocrisie du monde politique justement) est extrement difficile à gérer. C’est vrai pour le groupe SNCB … mais également vrai pour toutes les grandes entreprises (privées comme publiques).
Un groupe comme celui là ne se gère pas comme une PME, la structure derrnière est nécessairement lourde, complexe, … Que l’on ne me comprenne pas mal, je ne dis pas par là que tout est parfais dans le groupe SNCB, bien sur que non, il y a (comme partout), des choses à améliorer … et je continue de croire que la majorité des dirigeants et des employés de groupe oeuvrent dans ce sens (chacun à leur niveau et avec leurs possibilités d’actions).
Le groupe SNCB exécutant en grande majorité une activité liée à une mission de service publique (service intérieur du transport de voyageur) et de gestion de l’infrastructure (propriété de l’état), les rapports avec l’état sont “contractualisés” dans les fameux “contrats de gestion”. Ces contrats sont à considérer comme un contrat commercial entre un “prestataire” (le groupe SNCB) et un “client” (l’état). La qualité de service attendue du groupe SNCB est décrite dans ces contrats de gestion et les résultats sur ces indicateurs conditionne l’octroi ou non de subvention de l’état. (dans les indicateurs pris en compte, il y a notamment ponctualité mais également d’autres).
La gestion du groupe se rapproche de plus en plus d’une gestion “comme une entreprise 100% commerciale” … car c’est ce qui est voulu par les théories libérales d’économie des marchés … il ne faut pas ensuite s’étonner de voir certaines dérives de ces systèmes pourtant recommandé par une majortié apparaître … pour éviter ces dérives, il faut encadrer le marché par des règles (normes de sécurité, qualité minimum à garantir, …) et en tirer les conséquences sur les moyens à mettre en oeuvre pour y parvenir. Libéraliser les services publics (comme c’est la tendance dans tous les secteurs) entraine du positif (Ex: Belgacom -> amélioration de l’efficacité, service plus orienté client, …), mais également du négatif (hausse des prix si le “client” l’accepte (souvent insidieusement)) ou dégradation de la qualité (mais mieux “vendu”). En Europe, nous avons un exemple concret de libéralisation avancée du secteur du rail -> L’Angleterre … Et bien, c’est là que la sécurité est la plus mauvaise, que les tarifs sont parmis les plus élevés et ou (pourtant de culture plus “libérale” que ches nous) ils envisagent de revenir en arrière (moins libéraliser le rail qu’aujourd’hui).
Concernant “l’ampleur des bonus que s’octroient les dirigeants”, il y a là une méconnaissance du sujet. Les 3 principaux CEO du groupe ont des salaires, certe bien plus élevés que le mien, mais en comparaison à d’autres (du secteur privé ou public comme Belgacom (plus de 2 Mio€ quand même) ou La Poste) et sans “prendre leur défense”, ça reste relativement raisonnable (inférieur à 450 k€/an). (En plus, ils vont devoir revoir leurs prétentions à la baisse si la réforme des salaires des dirigeants d’entrerpise publique imaginée par le Ministre Magnette (encore lui … avant qu’il n’aille prendre son poste à Charleroi
) rentre en application.
Bon, avec un post pareil, c’est peut-être moi qui devrait écrire un blog
A+
Marmotte
savoir si mes données ont été publiées sur le net
Depuis quand Google appartient-il à Microsoft ?
Bonjour à tous,
je suis allé voir hier ce site pour voir si mon nom y était. Bein, oui, j’y suis….et deux fois (??) Adresse, n° GSM, adresse E-mail…..tout semble y être mais pas possible de savoir si c’est moi ou si c’est quelqu’un d’autre qui aurait le même nom.
Je me demande comment la SNCB a pu avoir toutes ces coordonnées.
J’ai pris le train durant des années mais jamais avec abonnement. Je me suis fait prendre une ou deux fois sans ticket….donc amende, donc carte d’identité…ok… mais, mon Gsm et mon adresse E-mail…d’où ça sort ??
Je n’ai plus pris le train depuis 6 ans et depuis j’ai déménagé. C’est pourquoi j’aurais voulu vérifier ces données de la sncb.
Je suis retourné sur ce site ce soir. Je parviens plus à retrouver la page. Je suis repassé par mes pages enregistrées dans mon historique et……..”The page you are looking for was not found.”
Lol.
Ben.
cette direction constitué de apparatchiks politique est affligeant de médiocrité comme la plupart des autres politiciens qui dirigent ce pays
Google n’appartient pas à Microsoft, Google est une entreprise comme l’est microsoft.
Youtube , Android … eux appartiennent à Google.
Voudrais vous faire part d’une histoire que peu de gens connaissent. En 2007, suite à un bug informatique, un trou de 800 millions d’euros a été trouvé dans le budget de l’Etat. Les partis politiques et les médias ont lancé un assaut groupé contre ce “scandale”. Sauf que l’erreur venait d’un chouette type qui avait été inattentif quelques secondes. Et il s’est suicidé.
Dans le cas présent, je me réjouis que le Parti Pirate (que je soutiens activement et dont le président, Jürgen, est un très bon pote) puisse démontrer la pertinence de son action. Ce qui me fait peur, en revanche, c’est que la faute soit imputable à un type qui ne soit en fait qu’un lampiste qui travaille tard pour des clopinettes.
Je lis que Magnette va diligenter une enquête ; au SPF Finances, il y en a aussi eu une mais (très) peu de gens ont été inquiétés. Et surtout pas le top manager du Service ICT dans sa Renault Espace avec chauffeur pour le conduire sur les greens de Golf…
Autant je souscris tout à fait à l’analyse que tu fais de la fuite de données personnelles et de l’attitude proprement irresponsable et scandaleuse de la SNCB qui s’en est ensuivie, autant je dois te dire que tu mélanges les torchons et les serviettes concernant la deuxième partie.
Travaillant dans le secteur ferroviaire depuis quelques années déjà, je peux te dire que bien que cela ne transparaisse peut-être pas quotidiennent, on abat beaucoup de boulot (je parle là du secteur entier) pour rendre à nouveau le chemin de fer sûr, pratique, efficace et – cette fois-ci – concurrentiel face aux autres modes et surtout complémentaire avec les autres modes de transport “doux”. Chacun son domaine d’expertise et je suis prêt à te donner quelques arguments (je me retiens volontiers) pour te prouver que ce que tu présentes comme un mode de transport révolutionnaire n’est ni plus ni moins qu’un emplâtre sur une jambe de bois.
Au plaisir de te lire,
Il suffit de recontacter toutes les personnes qui ont été victimes, de leur demander 5 cents et leur autorisation pour une action groupée en dommages et intérêts contre la SNCB. Et ce sera l’arroseur arrosé !
Cordialement
Saïd