Le Sénat a été informée que les pages de son site www.senat.fr étaient accessibles à la fois avec le protocole sécurisé HTTPS et sans, ce qui fait prendre un risque aux internautes.

Les internautes peuvent accéder à la version non sécurisée :

  • en saisissant simplement senat.fr au lieu de https://senat.fr dans leur navigateur ;
  • en passant par le moteur de recherche Google, qui propose, en premier, les pages non sécurisées du site du Sénat.

Le site du Sénat contenant un espace personnel, les identifiants des utilisateurs peuvent donc transiter sans chiffrement et être interceptés.

Événements relatifs à cette alerte :

  • le 19/10/2020, les services techniques et le Délégué à la Protection des Données du Sénat ont été informés par e-mail ;
  • le 30/11/2020, l’ANSSI a été alertée, référence 1034828.
  • le 09/12/2020, des e-mails ont été envoyés à un grand nombre de sénateurs ;
  • le 15/02/2021, il a été détecté que le Sénat a rétiré la page permettant de se connecter à son espace personnel ;
  • le 25/03/2021, un signalement a été effectué auprès la CNIL, référence 28-2439 ;
  • le 30/03/2021, la CNIL a transmis mon signalement au services des plaintes.