Il y a quelques mois, eWatchers.org alertait le Sénat français suite à la découverte de problèmes de sécurité sur leur site Internet.

Deux éléments sont notamment reprochés à l'institution :

  • le fait que les pages du site transitent en utilisant un protocole non sécurisé HTTP ;
  • et le fait que les mots de passe des utilisateurs soient stockés de façon non sécurisée dans leurs systèmes.

Retour sur les faits reprochés

Nous avons déjà beaucoup parlé de l'importance d'HTTPS : une première fois1 pour expliquer son importance et son fonctionnement, et une seconde fois2, en vidéo, pour exposer les risques à ne pas l'utiliser.

Nous avons aussi parlé de l'importance de chiffrer les mots de passe : une première fois3 pour inciter les éditeurs à ne pas stocker les mots de passe en clair, et une deuxième fois4, en vidéo, pour sensibiliser les internautes des dangers de cette pratique.

Tous ces concepts ne sont pas évidents, tout comme il est difficile de réaliser un site Internet fonctionnel et sécurisé. Il n'est cependant pas acceptable, pour une institution comme le Sénat, de ne pas appliquer ces pratiques élémentaires de sécurité.

C'est d'autant plus inacceptable que le Sénat, dans la page spécifique au traitement des données personnelles, indique collecter les données selon des protocoles sécurisés :

« Les données personnelles recueillies dans le cadre des services proposés sur www.senat.fr sont traitées selon des protocoles sécurisés [...] »

Institution majeure, risques majeurs

Si les risques peuvent être mineurs pour un site Internet personnel ou pour un site peu fréquenté, ils sont majeurs quand il s'agit du parlement français, acteur principal de notre démocratie et garant de la stabilité de notre pays.

Une défaillance de son fonctionnement, ou une maladresse dans sa communication peut, en effet, avoir de graves conséquences au sein de notre pays ou auprès des pays avec lesquels on entretient des relations.

Que se passerait-il si les pages du Sénat affichaient un message insultant envers un autre pays, suite à une altération de leurs pages par une personne malintentionnée ?

Que se passerait-il si les données personnelles et les mots de passe des utilisateurs, dont ceux des Sénateurs, se retrouvaient publiquement sur la toile ?

Il vaut probablement mieux mettre toutes les chances de notre côté pour ne pas être confronté à la réponse.

La méthode diplomatique a échoué

Nous avons utilisé tous les moyens que nous avions à notre disposition pour alerter le Sénat et les sensibiliser aux risques qu'ils font prendre aux internautes et à notre pays.

Nous avons commencé par contacter les services techniques. Ils n'ont cependant pas jugé nécessaire de corriger les problèmes immédiatement, mais ont indiqué que cela sera fait dans une prochaine version du site Internet. Quand est-ce que ce site sera disponible ? Nous sommes incapables de le dire, et ce n'est pas faute d'avoir posé la question.

Nous avons également contacté bon nombre de Sénateurs, dont Monsieur Vincent CAPO-CANELLAS, un des questeurs5 du Sénat, qui a indiqué que les services du Sénat étaient « en train de traiter le sujet ».

Enfin, la CNIL6 et l'ANSSI7 ont été contactées. Si la CNIL a eu la politesse de nous répondre et de nous conseiller, ce n'est pas le cas de l'ANSSI, quatre mois après notre courriel.

Pour nous assurer que l'information remonte bien à l'ANSSI, je suis même personnellement intervenu8 sur France Inter pour interpeller leur directeur, sans conséquences.

Nos demandes auprès de la CNIL

Le site du Sénat présente encore aujourd'hui, quatre mois après notre alerte, les mêmes risques majeurs. Nous avons donc pris la décision de porter plainte auprès de la CNIL contre le Sénat.

Nous ne souhaitions pas en arriver là, mais le Sénat ne nous laisse pas d'autre choix. Les enjeux sont trop importants pour ne pas agir.

Nous demandons particulièrement que :

  • le Sénat sécurise la transmission de ses pages Internet ;
  • le système d'authentification à l'espace personnel soit sécurisé ;
  • les mots de passe soient considérés comme compromis, car stockés en clair ;
  • les données collectées, c'est-à-dire les adresses e-mails, les mots de passe et les données personnelles des utilisateurs, soient considérées comme compromis, car ayant transitées par un protocole non sécurisé.

Nous espérons aussi que cette plainte permettra à la CNIL de faire toute la lumière sur les pratiques informatiques du Sénat et permettra d'éviter des dérives futures.

Première étape : acceptation de la plainte

La balle est désormais dans le camp de la CNIL, qui doit accepter notre demande9 avant de démarrer les investigations. Je n'ai cependant pas de doute sur le fait qu'elle le sera, car la sécurité des sites Internet et l'utilisation du protocole HTTPS font partie des objectifs prioritaires de la Comission pour 2021 :

« L’objectif de la CNIL est de contrôler le niveau de sécurité des sites web français les plus utilisés dans différents secteurs. L’attention sera portée plus particulièrement sur les formulaires de recueils de données personnelles, l’utilisation du protocole HTTPS et la conformité des acteurs à la recommandation de la CNIL sur les mots de passe. »

La procédure de la CNIL indique communiquer une réponse formelle sous six semaines. Nous ne manquerons pas de vous tenir informés.

Notes et références

  1. Le fonctionnement du protocole HTTPS est expliqué dans l'article « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS ».
  2. Les risques à utiliser le protocole non sécurisé HTTP sont présentés dans la vidéo « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».
  3. Le chiffrement des mots de passe est expliqué dans l'article « Ne stockez pas les mots de passe de vos utilisateurs en clair ».
  4. Les risques à ne pas chiffrer les mots de passe sont présetés dans la vidéo « Comment stocker les mots de passe pour éviter que les hackers ne les volent ».
  5. Les questeurs sont des sénateurs, élus par leurs pairs, en charge des aspects matériels et administratifs de la vie de l’Assemblée (source).
  6. CNIL : Commission Nationale de l'Informatique et des Libertés.
  7. ANSSI : Agence Nationale de la Sécurité des Systèmes d'Information.
  8. Mon intervention sur France Inter pour alerter le directeur de l'ANSSI, Guillaume Poupard, est décrite dans l'article « eWatchers.org intervient sur France Inter pour questionner le directeur de l'ANSSI ».
  9. La demande a été déposée auprès de la CNIL le 25/03/2021 sous la référence n°28-2439.