Faux certificats de la direction du Trésor : une erreur humaine sans conséquence, selon l’Anssi

Détectés par Google, et répercutés par Microsoft, Mozilla et Opera, les faux certificats émis par l’Etat français résultent d’une erreur humaine, explique Patrick Pailloux, le directeur général de l’Anssi. En l’occurrence d’une mauvaise manipulation sur un équipement de sécurité à la Direction Générale du Trésor.

Après Google, Microsoft, Mozilla et Opera. A la suite du concepteur de Chrome, les autres éditeurs de navigateurs ont lancé une alerte portant sur les certificats émis par la Direction Générale du Trésor, plus précisément par l’IGC/A (Infrastructure de Gestion de la Confiance de l’Administration) de cette direction, mandatée par l’Anssi (Agence nationale de la sécurité des systèmes d’information). Selon Microsoft, ces certificats SSL peuvent être utilisés pour parodier des contenus, réaliser des attaques par phishing ou mettre en place des attaques de type man-in-the-middle contre plusieurs sites Web propriétés de Google.

Pour rappel, ces certificats, émis par des États ou des sociétés privées comme Verisign, servent aux navigateurs à identifier des sites de confiance. Pour l’Etat français, l’Anssi délègue à certaines administrations l’émission de certificats par des IGC/A. On en compte environ une par ministère, auxquelles s’ajoutent les sous-délégations que peuvent eux-mêmes accorder les ministères. Dans le cas présent, c’est l’infrastructure de Bercy qui est en cause.

En voulant détecter des attaques…

Joint par téléphone, Patrick Pailloux, le directeur général de l’Anssi, explique que la faille détectée par Google résulte d’une erreur humaine au sein de la Direction Générale du Trésor. « Cette direction a utilisé un équipement – un WAF, Web application firewall – afin  de contrôler le trafic sortant. L’objectif étant de détecter des éventuelles attaques, dont Bercy a déjà été plusieurs fois victime. Pour ce faire, vous n’avez normalement besoin que de certificats locaux n’ayant de valeur que sur le réseau interne. Or, les équipes en place ont utilisé des certificats signés par l’IGC/A. » Selon l’Anssi, ces pratiques durent depuis la mi-octobre.

C’est cette erreur de manipulation qu’a détectée Google. Information qu’il a ensuite partagée avec les autres éditeurs de navigateurs. Selon le directeur général de l’Anssi, cette détection a fait craindre à ces sociétés qu’un assaillant ait corrompu un IGC afin de générer de faux certificats servant à légitimer des sites pirates. Une possibilité à écarter, selon Patrick Pailloux, pour lequel l’incident devrait « n’avoir aucune conséquence, les certificats émis ayant de toute façon expirés le 8 décembre. Et les sites légitimes du ministère ne sont pas affectés ».

Toutefois, Patrick Pailloux indique avoir « coupé la branche » IGC/A concernée (à savoir la sous-délégation permettant au service concerné d’émettre des certificats au nom de l’État français) et avoir lancé un audit « afin de vérifier qu’aucun autre dispositif de ce genre n’existe dans une autre administration ».

Crédit photo : © bensliman hassan – shutterstock


Voir aussi

Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes