Es-tu déjà passé par amendesroutieres.be pour payer tes PV? Ce site tenu par le SPF Justice est censé te permettre d’effectuer tes virements avec une carte de crédit en toute sécurité… en théorie. Le journal flamand De Standaard révèle que depuis son existence début juillet, il est possible pour n’importe qui de checker les autres chauffards concernés, rien qu’en manipulant le numéro de PV. Simple comme bonjour.
Petit fail de sécurité. amendesroutieres.be, le site internet du SPF Justice sur lequel tu peux directement payer tes PV, ne semble pas très au point en terme de protection des données privées. Il n’existe que depuis début juillet, mais le magazine spécialisé Verkeersspecialist a déjà repéré des failles dans le système.
Au départ et jusqu’au 8 septembre, il était très facile, pour n’importe quel conducteur qui s’était chopé une amende, de vérifier qui d’autre avait été flashé au même moment. Simplement en se connectant sur le site internet et en changeant un peu les données. Il était alors possible d’avoir accès aux noms, plaques d’immatriculation et même au montant de l’amende des autres chauffards concernés.
Par une simple manipulation du numéro de PV
Entre-temps, le SPF Justice a eu connaissance du problème et l’a résolu… en partie. La case comprenant le nom a été supprimée, mais il est toujours possible aujourd’hui de consulter toutes les autres données d’un PV, écrit ce matin le journal flamand De Standaard.
Werd mijn buurman ook geflitst? https://t.co/mz9g988BeY pic.twitter.com/HrMFeuMfL8
— De Standaard (@destandaard) 26 septembre 2017
Concrètement, le numéro du PV ressemble en général à quelque chose du genre: BG.98.L1.412345/2017. Or, en remplaçant le chiffre central 412345 par d’autres chiffres très proches, tu peux aisément tomber sur le PV de quelqu’un d’autre qui a été sanctionné un peu avant ou un peu après toi.
SPF Justice en tort
Qui est fautif dans cette affaire? Le SPF Justice, car la loi du 8 décembre 1992 relative à la vie privée « vise à protéger le citoyen contre toute utilisation abusive de ses données à caractère personnel ». Et « elle définit non seulement les droits et devoirs de la personne dont les données sont traitées mais aussi ceux du responsable d’un tel traitement ». Autrement dit, le Service public fédéral puisque c’est lui qui tient le site.
De plus, le SPF Justice a « une fonction d’exemple en tant que service public », juge encore au Standaard Caroline De Geest, membre de la Commission vie privée. « Il s’agit d’ailleurs de données judiciaires, une matière particulièrement sensible », conclut-elle.
De nouveaux changements devraient donc très vite être apportés au site par le Service public, en tout cas on l’espère.
Betaling verkeersboetes door buitenlandse overtreders stijgt sterk dankzij Verkeersboeten.be https://t.co/nZZLUAGM4J #verkeer #politie pic.twitter.com/CXJzUXcQUT
— Polinfo.be (@polinfo_nl) 19 septembre 2017