Quand la Préfecture des Yvelines se fout un peu de vos données personnelles

Vous avez aimé l’article « L’université, webdiploma, le sysadmin, TLS, et la couche 8 » ?

Il s’agit en quelque-sorte du second épisode.

Désormais depuis fin 2013, les permis de conduire sont sous format carte de crédit, fini le « papier rose ».

À la Préfecture des Yvelines, il faut prendre rendez-vous pour le récupérer, il n’y a pas d’envoi par lettre recommandée.

Une fois votre permis reçu par la préfecture, vous recevrez un SMS afin de prendre ce RDV.

Mais pour prendre ce fameux RDV, il faut aller sur le site internet : http://www.yvelines.gouv.fr/

Vous allez tomber sur un truc qui ressemble à cela :

Des infos persos ? Sur une page en clair ?

Bon, tentons d’ajouter un petit S pour faire HTTPS, peut-être que ce n’est pas disponible par défaut  :

Non, Firefox trouve cela chelou aussi.

Et si on y regardait de plus près…

Hop, un petit tour sur SSL Labs et sur CryptCheck :

 

 

 

Configuration problématique (entres-autres) :

  • Taille de la clé du certificat : 1024 bits.
  • Signature du certificat : SHA1withRSA.
  • Présence de SSLV3 : PODDLE.
  • Présence de MD5.
  • Présence de RC4.
  • Présence de DES3.
  • Présence d’un DH d’une taille de 1024 bits.

Suites de chiffrement périmées (entres-autres) :

  • TLS_ECDHE_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

Ah, vu que c’est tout le site qui est touché, même problème pour le formulaire de contact :

(Merci à Stéphane).

Conclusion :

  • Des données personnelles passent en clair sur un site en .gouv.fr, et il n’y a pas possibilité de passer en chiffré.
  • Même si elles passaient en chiffrées, vu la configuration c’est un peu comme si elles passaient en clair.
  • Les citoyens sont obligés d’utiliser ce service non-sécurisé afin de prendre RDV pour récupérer le précieux sésame.
  • Le responsable est astreint à une obligation de sécurité, le fait de ne pas avoir mis en oeuvre les moyens de protection est puni sévèrement par la loi.