InterRail victime d’une « faille de sécurité » : des coordonnées et des numéros de passeport pourraient avoir été volés

Le groupe Eurail B.V., le gestionnaire du pass InterRail qui permet de voyager en train à travers l’Europe, a « été victime d’une faille de sécurité au sein de ses systèmes », ce qui a permis « un accès non autorisé aux données de ses clients », a-t-il annoncé dans un message sur son site le 10 janvier, mis à jour mardi.

« Nous prenons cette situation très au sérieux et menons actuellement une enquête approfondie afin de déterminer l’ampleur de l’incident ainsi que ses conséquences potentielles pour nos clients », assure le groupe basé aux Pays-Bas. Le nombre de clients touchés n’est pas encore connu.

Selon les premiers éléments, les données concernées « peuvent inclure des informations sur les commandes et les réservations des clients, y compris des informations de base sur leur identité ainsi que leurs coordonnées », alerte Eurail B.V. Et de préciser qu’il peut s’agir d’informations relatives au passeport, comme le numéro, le pays de délivrance ou la date d’expiration.

Toutefois, le groupe prévient qu’il ne conserve pas de copie visuelle des passeports et qu’à ce stade, il n’existe « aucune preuve que les données aient été utilisées à mauvais escient ou divulguées publiquement ».

Vigilance face aux tentatives d’hameçonnage

Les clients qui ont obtenu leur pass dans le cadre de DiscoverEU, une action du programme Erasmus+, peuvent également être concernés, prévient Eurail B.V. Dans un communiqué publié mardi son site, le portail européen de la Jeunesse précise que « la fuite des données personnelles » peut concerner le nom, date de naissance, informations du passeport, adresse électronique, adresse postale, référence de compte bancaire ou encore des données relatives à la santé.

Les voyageurs DiscoverEU sont invités à changer leur mot de passe et à rester vigilant face aux tentatives d’hameçonnage ou d’usurpation d’identité.

L’enquête devra déterminer « les catégories exactes de données personnelles concernées et déterminer dans quelle mesure ces données ont également été copiées à partir de notre base de données clients », indique Eurail B.V., qui travaille avec « des spécialistes externes de la cybersécurité ».

Le groupe prévient que l’incident a été signalé à l’autorité de protection des données conformément aux exigences du RGPD de l’Union européenne. Les clients dont les données auraient pu être dérobées « en seront directement informés », assure-t-il.