Le Sénat, une des institutions françaises majeures, édite le site Internet « SENAT.FR ». Ce site contient des informations sur les travaux parlementaires, mais aussi un espace personnel pour permettre aux internautes (et aux Sénateurs ?) d’effectuer certaines démarches.

Le site du Sénat présente toutefois deux problèmes de sécurité majeurs qui font prendre des risques aux internautes :

  • les pages du site, y compris la page de connexion à l’espace personnel, transitent avec le protocole HTTP ;
  • les mots de passe des utilisateurs sont stockés dans les systèmes du Sénat sans mesures de sécurité appropriées.

Les risques à ne pas chiffrer les échanges avec HTTPS

Pour protéger les internautes, les informations qui leur sont envoyées ou les informations qu’ils envoient devraient être chiffrées avant de transiter sur Internet. Pour les sites Internet, ce chiffrement est réalisé majoritairement avec le protocole HTTPS. HTTPS permet, comme cela déjà été abordé dans un article[1] dédié, d’apporter la garantie aux internautes que les informations sont envoyées à la bonne personne (identification), que les informations ne sont pas lues par un tiers (confidentialité) et que les informations ne sont pas modifiées par un tiers (intégrité).

En l’absence d’HTTPS, comme cela a également été abordé[2], les informations échangées peuvent être interceptées, lues et/ou modifiées par un tiers. Si ce risque est moindre lorsque le contenu des pages n’est pas confidentiel, le risque est très élevé lorsque les informations échangées contiennent le mot de passe de l’internaute, ce qui est malheureusement le cas sur le site du Sénat.

Le Sénat a bien déployé le protocole HTTPS sur son site « SENAT.FR », mais rien n’a été fait pour forcer les internautes à l’utiliser. Résultat, les internautes se retrouvent souvent soit à consulter les pages du site sans chiffrement, soit à communiquer leur mot de passe sans chiffrement. Cela est notamment le cas lorsque :

  • les internautes saisissent simplement « SENAT.FR » au lieu de « HTTPS://SENAT.FR » dans leur navigateur, même si certains navigateurs tentent de « corriger cette erreur » et récupérent la page avec HTTPS dans les deux cas ;
  • les internautes passent par les moteurs de recherche, qui proposent, pour la plupart, les pages non sécurisées du site du Sénat en premier.
Recherche du mot clé « Sénat » sur Google avec comme premier résultat le site www.senat.fr
Google affiche en premier la version non sécurisée du site du Sénat.

De plus, même dans l’éventualité où l’internaute se rendrait sur le site du Sénat en précisant explicitement HTTPS, il finirait souvent par consulter les pages sans HTTPS, car de nombreux liens présents dans la page pointent vers les pages non sécurisées du site du Sénat. C’est le cas notamment du lien vers la page de connexion à l’espace personnel, ce qui a pour conséquence de transmettre, en clair, sur Internet, les identifiants de connexion des utilisateurs du site du Sénat lorsqu’ils se connectent à leur espace personnel.

Le navigateur Firefox affiche le message « This connection is not secure. Logins entered here could be compromised » lorsque l’internaute sélectionne l’un des champs du formulaire de connexion.
Page de connexion non sécurisée du Sénat. Firefox incite les internautes à ne pas saisir leurs identifiants. © eWatchers.org

Les risques à ne pas chiffrer les mots de passes des internautes

Pour protéger les internautes, des mesures appropriées doivent également être prises lorsque les mots de passe des internautes sont conservés.

Une des principales mesures consiste à chiffrer les mots de passes avec des techniques particulières[3][4] afin de s’assurer que les mots de passe ne peuvent pas (ou difficilement) être récupérés et utilisés par une personne accédant aux systèmes de l’éditeur. Ce risque est particulièrement élevé lorsque les internautes utilisent le même mot de passe partout, ce qui est malheureusement souvent le cas.

Le Sénat n’a pas pris le soin de chiffrer les mots de passe de ses utilisateurs. Les mots de passe sont conservés en clair ou dans une forme permettant d’être retrouvés aisément. Cela est visible car la fonctionnalité de récupération du mot de passe transmet, en clair, par e-mail, le mot de passe de l’utilisateur. Si le Sénat a la capacité d’envoyer le mot de passe de l’utilisateur, c’est la preuve qu’il a la capacité de retrouver facilement le mot de passe de ses utilisateurs. C’est une chose qui n’est normalement pas (ou difficilement) possible si des mesures appropriées avait été prises.

« Bonjour utilisateur de "Mon Sénat",

Vous avez demandé à récupérer votre mot de passe.
Le voici : MMXe2KAKN5vHbqw

Cordialement,
L’équipe du Sénat. »

— E-mail envoyé par le site du Sénat, 5 novembre 2020

Institution majeure, risques majeurs

Tous ces concepts ne sont pas évidents, tout comme il est difficile de réaliser un site Internet sécurisé et de le maintenir à jour de nombreuses années conformément aux nouvelles recommandations. Une institution comme le Sénat, qui dispose d’un budget de 300 millions d’euros dont 4,6 millions d’euros consacrés à l’informatique[5] et qui a probablement accès à des services compétents en matière de sécurité informatique, ne peut cependant pas se permettre de telles largesses. Si les risques peuvent être mineurs pour un site Internet personnel ou pour un site peu fréquenté, ils sont majeurs quand il s’agit du parlement français, acteur principal de notre démocratie et garant de la stabilité du pays.

Une défaillance de son fonctionnement, ou une maladresse dans sa communication peut, en effet, avoir de graves conséquences au sein de notre pays ou auprès des pays avec lesquels on entretient des relations. Que se passerait-il si les pages du Sénat affichaient un message insultant envers un autre pays, suite à une altération de leurs pages par une personne malintentionnée ? Que se passerait-il si les données personnelles et les mots de passe des utilisateurs, dont ceux des Sénateurs, se retrouvaient publiquement sur la toile ?

Il vaut probablement mieux mettre toutes les chances de notre côté pour ne pas être confronté à la réponse.

La méthode diplomatique a échoué

Tous les moyens à ma disposition ont été utilisés pour alerter le Sénat et les sensibiliser aux risques qu’ils font prendre aux internautes et à notre pays.

Les services techniques du Sénat ont été alertés, mais ils n’ont cependant pas jugé nécessaire de corriger les problèmes immédiatement et ont indiqué que cela sera fait dans une prochaine version du site Internet. Quand est-ce que ce site sera disponible ? Je suis incapable de le dire et ce n’est pas faute d’avoir posé la question.

Bon nombre de Sénateurs ont également été contactés, dont un des questeurs[6] du Sénat, qui a indiqué que les services du Sénat étaient « en train de traiter le sujet ».

L’ANSSI[7] a également été contactée, mais aucune réponse n’a été reçue à part un message qui a tout l’air d’avoir été envoyé automatiquement. Pour m’assurer que l’information remonte bien à l’ANSSI, je suis même personnellement intervenu[8] sur France Inter pour interpeller son directeur.

Enfin, un signalement a également été déposé à la CNIL[9] pour demander que :

  • la transmission de ses pages Internet soit effectuée avec HTTPS ;
  • les mots de passe des utilisateurs soient conservés avec des mesures appropriées ;
  • les mots de passe des utilisateurs soient considérés comme compromis, car stockés en clair ;
  • les données collectées, c’est-à-dire les adresses e-mails, les mots de passe et les données personnelles des utilisateurs, soient considérées comme compromis, car ayant transitées par un protocole non sécurisé.

J’espére aussi que ce signalement à la CNIL permettra de faire toute la lumière sur les pratiques informatiques du Sénat et permettra d’éviter des dérives futures.

La CNIL doit intervenir

La balle est désormais dans le camp de la CNIL. La Commission devrait être particulièrement intéressée, car la sécurité des sites Internet et l’utilisation du protocole HTTPS font partie de ses objectifs prioritaires pour 2021 :

« L’objectif de la CNIL est de contrôler le niveau de sécurité des sites web français les plus utilisés dans différents secteurs. L’attention sera portée plus particulièrement sur les formulaires de recueils de données personnelles, l’utilisation du protocole HTTPS et la conformité des acteurs à la recommandation de la CNIL sur les mots de passe. »

Suite (et fin ?)

Le Sénat a décidé de retirer l’espace personnel de son site « SENAT.FR ». Les personnes n’ont cependant pas (encore ?) été informées que leur mot de passe avait transité sur Internet et était stocké sans des mesures de sécurité adaptées. Le site du Sénat est toujours accessible sans le protocole HTTPS.

Notes et références

  1. Le fonctionnement du protocole HTTPS est expliqué dans l’article « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS ».
  2. Les risques à utiliser le protocole non sécurisé HTTP sont présentés dans la vidéo « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».
  3. Le chiffrement des mots de passe est expliqué dans l’article « Ne stockez pas les mots de passe de vos utilisateurs en clair ».
  4. Les risques à ne pas chiffrer les mots de passe sont présentés dans la vidéo « Comment conserver les mots de passe et éviter qu’un attaquant ne les utilise ».
  5. Les dépenses informatiques du Sénat en 2019 sont de 4 616 164 € (source : senat.fr).
  6. Les questeurs sont des sénateurs, élus par leurs pairs, en charge des aspects matériels et administratifs de la vie de l’Assemblée (source : senat.fr).
  7. ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information (ssi.gouv.fr).
  8. Je suis intervenu sur France Inter pour alerter le directeur de l’ANSSI, Guillaume Poupard. Voir « Mon intervention sur France Inter pour questionner le directeur de l’ANSSI au sujet de la sécurité des sites Internet de l’Assemblée Nationale et du Sénat ».
  9. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).