Il y a quelques mois, le Sénat français a été alerté suite à la découverte de problèmes de sécurité sur leur site Internet.

Deux éléments sont notamment reprochés à l’institution :

  • le fait que les pages du site transitent en utilisant un protocole non sécurisé HTTP ;
  • et le fait que les mots de passe des utilisateurs soient stockés de façon non sécurisée dans leurs systèmes.

Retour sur les faits reprochés

J’ai déjà beaucoup parlé de l’importance d’HTTPS : une première fois1 pour expliquer son importance et son fonctionnement, et une seconde fois2, en vidéo, pour exposer les risques à ne pas l’utiliser.

J’ai aussi parlé de l’importance de chiffrer les mots de passe : une première fois3 pour inciter les éditeurs à ne pas stocker les mots de passe en clair, et une deuxième fois4, en vidéo, pour sensibiliser les internautes des dangers de cette pratique.

Tous ces concepts ne sont pas évidents, tout comme il est difficile de réaliser un site Internet fonctionnel et sécurisé. Il n’est cependant pas acceptable, pour une institution comme le Sénat, de ne pas appliquer ces pratiques élémentaires de sécurité.

C’est d’autant plus inacceptable que le Sénat, dans la page spécifique au traitement des données personnelles, indique collecter les données selon des protocoles sécurisés :

« Les données personnelles recueillies dans le cadre des services proposés sur www.senat.fr sont traitées selon des protocoles sécurisés »

Institution majeure, risques majeurs

Si les risques peuvent être mineurs pour un site Internet personnel ou pour un site peu fréquenté, ils sont majeurs quand il s’agit du parlement français, acteur principal de notre démocratie et garant de la stabilité de notre pays.

Une défaillance de son fonctionnement, ou une maladresse dans sa communication peut, en effet, avoir de graves conséquences au sein de notre pays ou auprès des pays avec lesquels on entretient des relations.

Que se passerait-il si les pages du Sénat affichaient un message insultant envers un autre pays, suite à une altération de leurs pages par une personne malintentionnée ?

Que se passerait-il si les données personnelles et les mots de passe des utilisateurs, dont ceux des Sénateurs, se retrouvaient publiquement sur la toile ?

Il vaut probablement mieux mettre toutes les chances de notre côté pour ne pas être confronté à la réponse.

La méthode diplomatique a échoué

J’ai utilisé tous les moyens que j’avais à ma disposition pour alerter le Sénat et les sensibiliser aux risques qu’ils font prendre aux internautes et à notre pays.

J’ai commencé par contacter les services techniques. Ils n’ont cependant pas jugé nécessaire de corriger les problèmes immédiatement, mais ont indiqué que cela sera fait dans une prochaine version du site Internet. Quand est-ce que ce site sera disponible ? Je suis incapable de le dire, et ce n’est pas faute d’avoir posé la question.

J’ai également contacté bon nombre de Sénateurs, dont Monsieur Vincent CAPO-CANELLAS, un des questeurs5 du Sénat, qui a indiqué que les services du Sénat étaient « en train de traiter le sujet ».

Enfin, la CNIL6 et l’ANSSI7 ont été contactées. Si la CNIL a eu la politesse de répondre et de me conseiller, ce n’est pas le cas de l’ANSSI, quatre mois après mon courriel.

Pour m’assurer que l’information remonte bien à l’ANSSI, je suis même personnellement intervenu8 sur France Inter pour interpeller leur directeur, sans conséquences.

Ce qui est demandé à la CNIL

Le site du Sénat présente encore aujourd’hui, quatre mois après mon alerte, les mêmes risques majeurs. La décision a donc été prise de porter plainte auprès de la CNIL contre le Sénat.

Je ne souhaitais pas en arriver là, mais le Sénat ne me laisse pas d’autre choix. Les enjeux sont trop importants pour ne pas agir.

Je demande particulièrement que :

  • le Sénat sécurise la transmission de ses pages Internet ;
  • le système d’authentification à l’espace personnel soit sécurisé ;
  • les mots de passe soient considérés comme compromis, car stockés en clair ;
  • les données collectées, c’est-à-dire les adresses e-mails, les mots de passe et les données personnelles des utilisateurs, soient considérées comme compromis, car ayant transitées par un protocole non sécurisé.

J’espére aussi que cette plainte permettra à la CNIL de faire toute la lumière sur les pratiques informatiques du Sénat et permettra d’éviter des dérives futures.

Première étape : acceptation de la plainte

La balle est désormais dans le camp de la CNIL, qui doit accepter ma demande9 avant de démarrer les investigations. Je n’ai cependant pas de doute sur le fait qu’elle le sera, car la sécurité des sites Internet et l’utilisation du protocole HTTPS font partie des objectifs prioritaires de la Comission pour 2021 :

« L’objectif de la CNIL est de contrôler le niveau de sécurité des sites web français les plus utilisés dans différents secteurs. L’attention sera portée plus particulièrement sur les formulaires de recueils de données personnelles, l’utilisation du protocole HTTPS et la conformité des acteurs à la recommandation de la CNIL sur les mots de passe. »

Notes et références

  1. Le fonctionnement du protocole HTTPS est expliqué dans l’article « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS ».
  2. Les risques à utiliser le protocole non sécurisé HTTP sont présentés dans la vidéo « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».
  3. Le chiffrement des mots de passe est expliqué dans l’article « Ne stockez pas les mots de passe de vos utilisateurs en clair ».
  4. Les risques à ne pas chiffrer les mots de passe sont présetés dans la vidéo « Comment stocker les mots de passe pour éviter que les hackers ne les volent ».
  5. Les questeurs sont des sénateurs, élus par leurs pairs, en charge des aspects matériels et administratifs de la vie de l’Assemblée (source).
  6. CNIL : Commission Nationale de l’Informatique et des Libertés.
  7. ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information.
  8. Mon intervention sur France Inter pour alerter le directeur de l’ANSSI, Guillaume Poupard, est décrite dans l’article « Mon intervention sur France Inter pour questionner le directeur de l’ANSSI ».
  9. La demande a été déposée auprès de la CNIL le 25/03/2021 sous la référence n°28-2439.