14 décembre 2023
Comment le pass Navigo peut être ciblé par des hackers ?
La carte Navigo remplace progressivement les tickets cartonnés de la RATP. D’une part, elle simplifie la vie des abonnés des transports en Île-de-France. D’autre part, elle permet une gestion informatique des comptes clients. En 2023, les abonnés Navigo représentent environ 2 millions de personnes.
Mais, comme San Francisco aux États-Unis ou Turin en Europe, les réseaux de transport deviennent une cible privilégiée des pirates informatiques. Différents types de cyberattaques visent les opérateurs de transport public : vol d’informations, arnaque, usurpation d’identité, etc. Le pass Navigo ciblé par des hackers est désormais une réalité inquiétante.
Ile-de-France Mobilités : le stockage à risque de millions de données d’abonnés
Île-de-France Mobilités (IDFM) représente l’autorité organisatrice des transports franciliens : métro, bus, train transilien. Elle gère les comptes des abonnés à la carte Navigo : inscription, renouvellement ou dysfonctionnement. À ce titre, elle stocke les informations personnelles des abonnés dans ses bases de données ou celles de ses sous-traitants.
Le pass Navigo ciblé par les hackers expose ces données à un usage frauduleux. Les pirates exploitent toutes les techniques de l’ingénierie sociale pour parvenir à manipuler leurs cibles. Ils envoient un mail ou un SMS en usurpant l’identité d’Ile-de-France Mobilités. Ce message suscite les émotions de joie ou peurs pour les inciter à tomber dans leur arnaque :
- la joie : remboursement, baisse de prix ou nouvelle offre ;
- la peur : rejet bancaire, suspension de service, dysfonctionnement.
L’envoi de mails frauduleux au nom d’Ile-de-France Mobilités
L’utilisation du mail dans la relation client est devenue une pratique courante des entreprises. D’une part, 85 % des entreprises utilisent le mail comme canal de communication (étude CMI, 2022). Et d’autre part, 91 % des clients souhaitent que les entreprises avec lesquelles ils sont en relation privilégient le mail comme moyen de contact (étude Sleeknote, 2019). Le pass Navigo ciblé par des hackers, c’est l‘opportunité offerte par cette tendance : personne ne se méfie d’un mail d’Ile-de-France Mobilités.
Le détournement des campagnes de remboursement d’Ile-de-France Mobilités
En juillet 2023, IDFM prévoit une campagne de remboursement auprès de ses abonnés Navigo. Elle propose le remboursement d’une partie de l’abonnement en raison des perturbations subies. Les pirates vont précéder l’ouverture de cette opération. Ils envoient des mails aux abonnés Navigo pour leur proposer le remboursement.
Pour obtenir leur compensation, les destinataires doivent cliquer sur un lien frauduleux. Les victimes sont alors dirigées sur la réplique du site web d’IDFM. Ils sont enfin invités à laisser leurs coordonnées bancaires pour percevoir leur dédommagement.
Le phishing : arnaque classique pour subtiliser les informations personnelles des usagers
Les mails contenant des liens frauduleux sont des attaques de phishing (hameçonnage). Pour les envoyer à leurs cibles, les pirates ont d’abord hacké les bases de données de la RATP ou de ses sous-traitants. Ensuite, ils usurpent la charte graphique d’Ile-de-France Mobilités pour manipuler les destinataires. Selon le magazine en ligne Numerama, les pirates utilisent ensuite plusieurs intermédiaires pour lancer leur campagne d’emailing sans être repérés.
SMS trompeurs à destination des usagers d’Ile-de-France Mobilités
Le pass Navigo ciblé par des hackers, c’est aussi l’utilisation des SMS trompeurs. En effet, 90 % des SMS sont lus après réception.
Annonce ou message incitatif par SMS
Le message envoyé contient toujours une annonce incitative pour attirer l’attention des abonnés Navigo. L’exemple courant, c’est un message vous invitant à régulariser votre situation : « Nous vous contactons pour vous informer que le prélèvement automatique pour votre carte Navigo a été rejeté. Pour éviter la suspension de votre abonnement, veuillez blablabla ».
Les victimes cliquent sur un lien pour régulariser leur compte. Ils atterrissent sur un faux site web d’IDFM. Leurs informations bancaires sont alors détournées par les pirates. Ils peuvent encaisser la régularisation, réutiliser les données pour des achats ou les vendre sur le darknet.
Le smishing : des campagnes SMS ciblées
Le smishing désigne une cyberattaque de phishing sur un mobile. C’est une pratique en croissance exponentielle. Selon Globalsecuritymag, 3,5 milliards de SMS frauduleux sont envoyés par jour dans le monde. Le pass Navigo ciblé par des hackers experts en smishing représente donc un risque élevé pour les abonnés parisiens.
Comment améliorer la sécurité du pass Navigo en Île-de-France ?
Sécuriser les possesseurs d’un abonnement représente un enjeu fort pour la ville de Paris, la RATP et la région Île-de-France.
Développer la cybersécurité au sein d’Ile-de-France Mobilités et de ses partenaires
Suite aux attaques par phishing et smishing, les autorités du transport public en région parisienne renforcent la sécurité des comptes client. De plus, chaque cyberattaque fait l’objet d’une plainte et d’un signalement à la CNIL. De plus des opérations de sensibilisation accompagnent les différents opérateurs du transport à Paris. Ainsi, depuis 2020, RATP DEV, filiale d’exploitation, a mené plusieurs actions de formation au phishing auprès de 2500 collaborateurs en France et en Europe.
Sensibiliser les détenteurs du pass Navigo à la sécurité informatique
Le pass Navigo ciblé par des hackers, c’est aussi la responsabilité des abonnés. L’autorité organisatrice francilienne multiplie les actions de sensibilisation au risque de la cybercriminalité. Découvrez les principales consignes partagées avec leurs abonnés.
- Vérifier l’adresse de l’expéditeur : emailings@iledefrance-mobilites.com ou noreply@emails.maratp.fr ;
- Ne jamais cliquer sur un lien suspect ;
- Vérifier l’URL du site de redirection : iledefrance-mobilites.fr et non pas ile2france-mobilités.fr ;
- Signaler toute tentative de phishing ou de smishing sur les sites gouvernementaux ;
- Changer les mots de passe régulièrement ;
- Porter plainte si vous êtes victime d’une arnaque.
Les métiers de la cybersécurité pour protéger les données des usagers
La cybercriminalité augmente. Les opérateurs du transport public ont besoin de développer leur expertise en sécurité informatique. Des métiers émergent pour renforcer la protection des systèmes d’information au sein des entreprises ou des établissements publics :
- ingénieur sécurité informatique ;
- directeur cybersécurité ;
- analyste de la cyber-menace ;
- responsable sécurité des systèmes d’information (RSSI).
Ce sont des métiers d’avenir qui répondent aux enjeux de sécurité de notre société. Le pass Navigo ciblé par des hackers est sans doute l’arbre qui cache la forêt d’une cybercriminalité en fort développement.