crédit photo © bensliman hassan - shutterstock
Après Google, Microsoft, Mozilla et Opera. A la suite du concepteur de Chrome, les autres éditeurs de navigateurs ont lancé une alerte portant sur les certificats émis par la Direction Générale du Trésor, plus précisément par l’IGC/A (Infrastructure de Gestion de la Confiance de l’Administration) de cette direction, mandatée par l’Anssi (Agence nationale de la sécurité des systèmes d’information). Selon Microsoft, ces certificats SSL peuvent être utilisés pour parodier des contenus, réaliser des attaques par phishing ou mettre en place des attaques de type man-in-the-middle contre plusieurs sites Web propriétés de Google.
Pour rappel, ces certificats, émis par des États ou des sociétés privées comme Verisign, servent aux navigateurs à identifier des sites de confiance. Pour l’Etat français, l’Anssi délègue à certaines administrations l’émission de certificats par des IGC/A. On en compte environ une par ministère, auxquelles s’ajoutent les sous-délégations que peuvent eux-mêmes accorder les ministères. Dans le cas présent, c’est l’infrastructure de Bercy qui est en cause.
Joint par téléphone, Patrick Pailloux, le directeur général de l’Anssi, explique que la faille détectée par Google résulte d’une erreur humaine au sein de la Direction Générale du Trésor. « Cette direction a utilisé un équipement – un WAF, Web application firewall – afin de contrôler le trafic sortant. L’objectif étant de détecter des éventuelles attaques, dont Bercy a déjà été plusieurs fois victime. Pour ce faire, vous n’avez normalement besoin que de certificats locaux n’ayant de valeur que sur le réseau interne. Or, les équipes en place ont utilisé des certificats signés par l’IGC/A. » Selon l’Anssi, ces pratiques durent depuis la mi-octobre.
C’est cette erreur de manipulation qu’a détectée Google. Information qu’il a ensuite partagée avec les autres éditeurs de navigateurs. Selon le directeur général de l’Anssi, cette détection a fait craindre à ces sociétés qu’un assaillant ait corrompu un IGC afin de générer de faux certificats servant à légitimer des sites pirates. Une possibilité à écarter, selon Patrick Pailloux, pour lequel l’incident devrait « n’avoir aucune conséquence, les certificats émis ayant de toute façon expirés le 8 décembre. Et les sites légitimes du ministère ne sont pas affectés ».
Toutefois, Patrick Pailloux indique avoir « coupé la branche » IGC/A concernée (à savoir la sous-délégation permettant au service concerné d’émettre des certificats au nom de l’État français) et avoir lancé un audit « afin de vérifier qu’aucun autre dispositif de ce genre n’existe dans une autre administration ».
Crédit photo : © bensliman hassan – shutterstock
Voir aussi
Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…