Le Sénat a été informée que les pages de son site www.senat.fr étaient accessibles à la fois avec le protocole sécurisé HTTPS et sans, ce qui fait prendre un risque aux internautes.

Les internautes peuvent accéder à la version non sécurisée :

  • en saisissant simplement senat.fr au lieu de https://senat.fr dans leur navigateur ;
  • en passant par le moteur de recherche Google, qui propose, en premier, les pages non sécurisées du site du Sénat.

Le site du Sénat contenant un espace personnel, les identifiants des utilisateurs peuvent donc transiter sans chiffrement et être interceptés.

Événements relatifs à cette alerte :

  • le 19/10/2020, un e-mail a été envoyé aux services techniques et au Délégué à la Protection des Données du Sénat.
  • le 30/11/2020, l’ANSSI a été alertée, référence 1034828.
  • le 09/12/2020, des e-mails ont été envoyés à un grand nombre de sénateurs.
  • le 15/02/2021, il a été détecté que le Sénat a rétiré la page permettant de se connecter à son espace personnel.
  • le 25/03/2021, une plainte a été déposée auprès la CNIL, référence 28-2439.
  • le 30/03/2021, la plainte a été acceptée par la CNIL.

Note : un délai raisonnable a été laissé au Sénat. La décision a donc été prise de publier cette alerte et l’article associé, non pas pour inciter d’éventuels pirates à profiter de la situation, mais pour sensibiliser les utilisateurs, internautes, et citoyens français, et leur faire prendre conscience des risques encourus à visiter le site du Sénat.