Mobib : la carte trop curieuse
DE MUELENAERE,MICHEL
Page 7
Vendredi 9 janvier 2009
Vie privée Des chercheurs craquent le ticket électronique de la Stib
Elle est présentée comme la carte de l’avenir. Deux cent cinquante mille d’entre elles ont déjà été mises en circulation ; trois cent mille devraient être détenues avant la fin 2009, indiquait-on récemment à la Stib. La technologie sur laquelle Mobib est basée, Calypso, est en passe d’être adoptée par les autres sociétés de transports en commun (De Lijn, la SNCB et le TEC wallon, lire Le Soir du 5 juillet 2008). Simplissime : elle contient toutes les données sur un éventuel abonnement ou un certain nombre de voyages. Elle se recharge sur internet ou à des bornes spécialisées. Et se valide en un clin d’œil devant un lecteur à chaque montée dans un bus, un tram ou à l’entrée de la station de métro.
Mais cette technologie utilisant une puce RFID est loin de faire l’unanimité. Certains estiment que les données personnelles qu’elle récolte pourraient être utilisées à de mauvaises fins. Démonstration par l’Information Security Group de l’UCL qui a « lu » une carte Mobib et a vérifié son contenu. « Outre l’identité du propriétaire de la carte, sa date de naissance et son code postal, la carte contient en clair la trace des trois derniers voyages du client », disent les chercheurs. Or, « ceci est en contradiction avec les récentes affirmations du ministre bruxellois du Transport ». Interpellé par la députée Ecolo Céline Delforge, Pascal Smet affirmait qu’« il n’existe aucune donnée nominative comportant des renseignements sur la validation, qui soit conservée ni un mois, ni 48 h, ni même une heure ». Plus tard, il indiquait que « les trajets ne sont pas enregistrés au niveau de la carte Mobib, mais ils le sont au niveau du valideur, qui mémorise l’heure, la date et la ou les lignes utilisées ».
Du côté de la Stib, on rétorque qu’il n’est pas question de modifier le système lancé au début de l’année. « Pour nous, il n’y a pas de problème, indique une porte-parole. Les données qui se trouvent sur la carte sont nécessaires aux contrôles. Lorsqu’elles entrent dans nos bases de données, elles sont “anonymisées”. » Les chercheurs n’en démordent pas : « Cette découverte pose des questions sérieuses relatives à la protection de la vie privée de 160.000 clients. Il sera facile de déterminer quand et où un collègue, un enfant ou une épouse aura utilisé les transports en commun. » Pour Gildas Avoine, la faille n’est peut-être pas « dramatique ». Mais « elle pourrait être aisément contournée en cryptant les données. Notre découverte montre qu’il y a négligence. Et surtout qu’il y a un manque de communication. C’est à la Stib de clarifier spontanément ce que contient la carte Mobib ».
Depuis son lancement, Mobib rencontre des réticences. À plusieurs reprises, la Commission de protection de la vie privée s’est inquiétée du « flou » entourant le développement de la carte et de ses applications. « Nous suivons très attentivement ce que fait la société bruxelloise, dit-on du côté de la Commission. Cela reste flou. Et beaucoup de projets posent problème. Nous les accompagnons en leur indiquant ce qui est acceptable et ce qui ne l’est pas. Mais si les décisions finales posent problème, nous nous réservons le droit de rendre un avis et de le publier. Cela risque de faire mauvais genre… »
