Le piratage des comptes Swisspass est un phénomène en croissance qui touche un nombre croissant d’utilisateurs en Suisse. Bien que ces incidents restent rares comparés à l’ensemble des comptes actifs, les conséquences financières pour les victimes sont loin d’être négligeables.
Une Fribourgeoise a récemment perdu 3500 francs suite à l’achat de billets frauduleux à partir de son compte piraté. Ce genre d’escroquerie met en lumière des lacunes dans la sécurité des comptes et soulève des interrogations sur la gestion des plaintes et des remboursements.
Des piratages en augmentation malgré des chiffres faibles
Bien que le nombre de comptes Swisspass piratés reste relativement faible par rapport aux six millions d’utilisateurs, les polices cantonales ont observé une augmentation des plaintes en 2025. Le canton de Vaud, par exemple, a enregistré 20 cas en 2025 contre seulement 7 en 2024, relate 20minutes. Genève et Neuchâtel notent également une hausse des plaintes, bien que les chiffres demeurent modérés. Les utilisateurs concernés, après avoir vu leurs comptes piratés, découvrent souvent avec stupeur que des billets ont été achetés en leur nom, souvent pour des trajets à l’étranger.
Le piratage se fait généralement par le biais de l’hameçonnage, où les pirates réussissent à obtenir les informations sensibles des utilisateurs, comme leurs mots de passe. Une fois le compte compromis, les malfaiteurs achètent des billets sans que les victimes en aient connaissance. Ce fut le cas pour une Fribourgeoise, qui a perdu 3500 francs pour des achats effectués en Italie par les hackers. Si ces incidents restent marginaux, les dommages financiers peuvent se chiffrer en milliers de francs, comme en témoigne cette victime qui a vu son compte vidé sans pouvoir obtenir de remboursement.
Des démarches de remboursement compliquées et des mesures de sécurité insuffisantes
Un autre aspect préoccupant de ces piratages est le manque de clarté et la complexité des démarches de remboursement pour les victimes. Après avoir porté plainte, la Fribourgeoise a constaté que les différents acteurs impliqués – les CFF, Twint, la banque, et l’Alliance Swisspass – se renvoyaient la responsabilité. Le manque d’assurance contre les cyberattaques rend presque impossible la récupération des sommes volées dans de telles situations. Cette absence de soutien clair dans le processus de remboursement laisse les victimes dans une position précaire et soulève des questions sur la responsabilité des entreprises numériques face aux cyberattaques.
Face à cette situation, l’Alliance Swisspass a annoncé une série de mesures pour renforcer la sécurité de ses comptes. Dès la mi-mai 2025, la double authentification deviendra obligatoire pour les nouveaux comptes créés sur de nouveaux appareils. Un code de sécurité envoyé par e-mail sera également requis pour se connecter au compte. Même si ces mesures représentent un progrès, elles sont perçues comme insuffisantes par certains utilisateurs, qui estiment que la sécurité aurait dû être améliorée bien plus tôt, notamment avec l’obligation de la double authentification pour tous les comptes.
