Le 16 octobre 2020, il a été découvert que les mots de passe des utilisateurs du site du Sénat, « SENAT.FR », étaient stockés en clair ou sous une forme pouvant être aisément retrouvés.

Il a également été constaté que les mots de passe des utilisateurs étaient transmis sans chiffrement :

  • lorsque l’internaute se connectait à l’espace personnel en utilisant la page transmise avec le protocole HTTP ;
  • lorsque l’internaute oubliait son mot de passe, car le site du Sénat envoyait par e-mail, sans chiffrement, les mots de passe aux utilisateurs.

Les services du Sénat ont été alertés ainsi que l’ANSSI. Quatre mois après le signalement, le Sénat a retiré l’espace personnel de son site. Une plainte a toutefois été déposée à la CNIL. Les utilisateurs du site du Sénat n’ont pas été (encore ?) été informés que leur mot de passe était compromis.

Chronologie des événements :

  • le 16/10/2020, un e-mail a été envoyé aux services techniques et au Délégué à la Protection des Données du Sénat pour les informer.
  • le 19/10/2020, un e-mail a été reçu des services du Sénat pour indiquer être « au courant des bonnes pratiques en matière de sécurité » et que « ces bonnes pratiques seront mises en œuvre dans la prochaine version du site, actuellement à l’étude ».
  • le 19/10/2020, un e-mail a été envoyé aux services du Sénat pour demander de forcer l’utilisation de HTTPS, pour demander de sécuriser le stockage des mots de passe dès à présent et pour demander la date de disponibilité du nouveau site à l’étude.
  • le 30/11/2020, l’ANSSI a été alertée (réf. 1034828).
  • le 09/12/2020, des e-mails ont été envoyés à certains sénateurs pour les sensibiliser.
  • le 11/12/2020, un des questeurs du Sénat a indiqué que les services du Sénat étaient « en train de traiter le sujet ».
  • le 15/02/2021, il a été détecté que le Sénat avait retiré la page permettant de se connecter à l’espace personnel.
  • le 20/02/2021, je suis intervenu sur France Inter pour alerter le directeur de l’ANSSI. Voir « Mon intervention sur France Inter pour questionner le directeur de l’ANSSI au sujet de la sécurité des sites Internet de l’Assemblée Nationale et du Sénat ».
  • le 25/03/2021, une plainte a été déposée auprès la CNIL (réf. 28-2439).
  • le 30/03/2021, un article a été publié pour alerter les internautes. Voir « Le Sénat transmet les pages de son site Internet sans chiffrement et stocke les mots de passe de ses utilisateurs sans mesures de sécurité appropriées ».
  • le 24/02/2022, une demande a été envoyée à la CNIL pour demander l’état d’avancement de la plainte (réf. 144473-1645728321).
  • le 10/06/2022, une 2ème demande a été envoyée à la CNIL pour demander l’état d’avancement de la plainte (réf. 152482-1654878886).
  • le 03/11/2022, un message a été reçu de la CNIL indiquant que le Délégué à la Protection des Données du Sénat avait été contacté.