Le 16 octobre 2020, il a été découvert que les mots de passe des utilisateurs du site du Sénat, « SENAT.FR », étaient stockés en clair ou sous une forme pouvant être aisément retrouvés.

Il a également été constaté que les mots de passe des utilisateurs étaient transmis sans chiffrement :

  • lorsque l’internaute se connectait à l’espace personnel en utilisant la page transmise avec le protocole HTTP ;
  • lorsque l’internaute oubliait son mot de passe, car le site du Sénat envoyait par e-mail, sans chiffrement, les mots de passe aux utilisateurs.

Les services du Sénat ont été alertés ainsi que l’ANSSI. Quatre mois après le signalement, le Sénat a retiré l’espace personnel de son site. Une plainte a toutefois été déposée à la CNIL, car les utilisateurs du site du Sénat n’ont pas été informés que leur mot de passe était compromis et, car le site du Sénat est toujours accessible avec le protocole HTTP.

En février 2023, c’est-à-dire deux ans et demi après le dépôt de la plainte, la CNIL a indiqué que l’espace personnel du Sénat a été « supprimé dès novembre 2020, pour ne pas risquer de mettre en péril les données des abonnés » et que « l’ensemble des données à caractère personnel concernées par ce traitement ont été effacées depuis ».

Concernant l’utilisation du protocole HTTP, la CNIL a indiqué que le « Sénat mène actuellement un projet de refonte globale de son site institutionnel dont la mise en ligne devrait être effective en mars 2023 » et que « des mesures de sécurisation des échanges seront déployées conformément aux recommandations de l’ANSSI ».

Aucune sanction n’a été retenue à l’encontre du Sénat. Les utilisateurs n’ont pas été informés que leur mot de passe avait été compromis.

Chronologie des événements :

  • le 16/10/2020, un e-mail a été envoyé aux services techniques et au Délégué à la Protection des Données du Sénat pour les informer.
  • le 19/10/2020, un e-mail a été reçu des services du Sénat pour indiquer être « au courant des bonnes pratiques en matière de sécurité » et que « ces bonnes pratiques seront mises en œuvre dans la prochaine version du site, actuellement à l’étude ».
  • le 19/10/2020, un e-mail a été envoyé aux services du Sénat pour demander de forcer l’utilisation de HTTPS, pour demander de sécuriser le stockage des mots de passe dès à présent et pour demander la date de disponibilité du nouveau site à l’étude.
  • le 30/11/2020, l’ANSSI a été alertée (réf. 1034828).
  • le 09/12/2020, des e-mails ont été envoyés à certains sénateurs pour les sensibiliser.
  • le 11/12/2020, un des questeurs du Sénat a indiqué que les services du Sénat étaient « en train de traiter le sujet ».
  • le 15/02/2021, il a été détecté que le Sénat avait retiré la page permettant de se connecter à l’espace personnel.
  • le 20/02/2021, je suis intervenu sur France Inter pour alerter le directeur de l’ANSSI. Voir « Mon intervention sur France Inter pour questionner le directeur de l’ANSSI au sujet de la sécurité des sites Internet de l’Assemblée Nationale et du Sénat ».
  • le 25/03/2021, une plainte a été déposée auprès la CNIL (réf. 28-2439).
  • le 30/03/2021, un article a été publié pour alerter les internautes. Voir « Le Sénat transmet les pages de son site Internet sans chiffrement et stocke les mots de passe de ses utilisateurs sans mesures de sécurité appropriées ».
  • le 24/02/2022, une demande a été envoyée à la CNIL pour demander l’état d’avancement de la plainte (réf. 144473-1645728321).
  • le 10/06/2022, une seconde demande a été envoyée à la CNIL pour demander l’état d’avancement de la plainte (réf. 152482-1654878886).
  • le 03/11/2022, un message a été reçu de la CNIL indiquant que le Délégué à la Protection des Données du Sénat avait été contacté.
  • le 03/02/2023, une demande a été envoyée à la CNIL pour demander quelles suites allaient être données à la plainte (réf. 168156-1675415290).
  • le 15/02/2023, un message a été reçu de la CNIL indiquant que « l’espace "Mon Sénat" avait supprimé dès novembre 2020, pour ne pas risquer de mettre en péril les données des abonnés » et que « l’ensemble des données à caractère personnel concernées par ce traitement ont été effacées depuis ». La CNIL a également indiqué que « le Sénat mène actuellement un projet de refonte globale de son site institutionnel dont la mise en ligne devrait être effective en mars 2023 » et que « des mesures de sécurisation des échanges seront déployées conformément aux recommandations de l’ANSSI » (Voir le message intégral).
Cette action est désormais terminée.

Sigles et acronymes

  • ANSSI : Agence Nationale de la Sécurité des Systèmes d'Information
  • HTTP : Hypertext Transfer Protocol
  • CNIL : Commission Nationale de l'Informatique et des Libertés