Cybersécurité: un rapport étrille les mauvaises pratiques des députés et sénateurs

Les députés et sénateurs auraient-ils des lacunes en matière d'hygiène numérique? Oui, et non des moindres, selon un rapport sur la sécurité informatique des pouvoirs publics, rédigé par Jérôme Bascher. Le sénateur LR de l'Oise met en garde l'Assemblée nationale et le Sénat contre plusieurs vulnérabilités dont pourraient tirer profit des hackers malintentionnés, notamment pour extorquer des données sensibles. 

D'après l'ancien expert de l'INSEE, les "fonctions institutionnelles" des deux chambres sont bien protégées. Le bât blesse néanmoins dès lors que l'on s'intéresse de près aux pratiques quotidiennes des députés et sénateurs.

"La sécurité informatique des parlementaires est proche de zéro", tranche ainsi Jérôme Bascher auprès de Public Sénat.

Les parlementaires peuvent en effet jeter leur dévolu sur le smartphone de leur choix, sans consigne particulière. Et donc opter, sans le savoir, pour des appareils comportant des défauts de sécurité. 

L'autre principale vulnérabilité relevée par Jérôme Bascher tient au stockage des données. Le Sénat s'en remettrait à Amazon Web Services, le service de cloud du géant américain Amazon, pour héberger certaines de ses applications. Or, le Cloud Act, voté en 2018, permet au gouvernement américain d’accéder aux données de ses entreprises sous certaines conditions, à condition de disposer d'un mandat délivré par un tribunal américain.

Une flotte méconnue de téléphones

Aux yeux d'Eric Bothorel, député LREM des Côtes-d'Armor, le tableau n'est pas aussi noir que dépeint dans le rapport de Jérôme Bascher. "La critique à l'égard des services cloud ne concerne pas les députés", tempère-t-il. "La plupart des données des applications de l’Assemblée - de la messagerie aux applications législatives en passant par la comptabilité ou encore les fiches de paie - sont hébergées dans les salles informatiques de l’Assemblée nationale. La boîte de messagerie que nous utilisons est par ailleurs protégée par des équipements spécifiques qui filtrent les messages indésirables - soit plus de 90% de l'ensemble des messages reçus."

Eric Bothorel admet néanmoins la propension de certains députés à héberger leurs échanges personnels et professionnels sur le même téléphone:

"Le système d'information aura beau faire tous les efforts du monde pour créer des applications professionnelles sécurisées, ces dernières seront rendues vulnérables dès lors qu'elles cohabiteront sur le même appareil avec des applications personnelles - qu'il s'agisse de Telegram, pour ne citer qu'elle, ou de services cloud".

Exit le Wi-Fi public

L'Assemblée nationale est néanmoins loin d'être dépourvue de ressources. Une flotte "assez méconnue" de téléphones, toujours selon les mots d'Eric Bothorel, est mise à la disposition des députés pour leurs déplacements à l'étranger, afin de leur éviter d'exposer leurs téléphones personnels dans des zones jugées sensibles.

"Il est ainsi possible de voyager avec un téléphone sans données mobiles, utile simplement pour passer des appels et doté d'un répertoire limité à moins d'une dizaine de numéros". Impossible dès lors d'accéder à sa boîte mail depuis cet appareil ou de céder à l'envie de se connecter à un Wi-Fi public. "L'Assemblée nationale fournit également des "data blockers", qui permettent de recharger son appareil en empêchant tout flux indésirable de données", complète enfin Eric Bothorel. 

À quels risques s'exposent les parlementaires en se passant des recommandations d'hygiène numérique élémentaires ? Le rapport de Jérôme Bascher fait état "d"attaques répétées visant à faire passer des messages, notamment pour contester l'adoption imminente d'une loi". Le texte évoque également la possibilité de procéder à des attaques par déni de service à l'encontre des sites institutionnels, pour les rendre temporairement inaccessibles.

Le Conseil constitutionnel peut, lui aussi, faire les frais de telles attaques. L'institution aura subi huit fois plus de tentatives d'hameçonnage par messagerie après le lancement du référendum sur la privatisation d'ADP qu'en période dite classique. Enfin, les parlementaires peuvent tout simplement pâtir du piratage de leurs propres comptes. De quoi les encourager à mieux compartimenter leur vie numérique.