Pour gérer vos consentements :
Categories: CloudSécurité

Google bloque des certificats numériques corrompus… de l’Anssi

C’est une histoire de cordonnier mal chaussé. Google a bloqué, samedi 7 décembre, des certificats numériques émis par une autorité de certification mandatée par l’Anssi, l’Agence nationale de la sécurité des systèmes d’information. Ce qui fait pour le moins désordre.

Rappelons que les certificats numériques servent de carte d’identité des sites sécurisés (chiffrés) pour les navigateurs qui les visitent. Les précieux sésames, délivrés par des autorités certifiées (institutions, sociétés commerciales…), visent à interdire les risques de détournement de trafic à des fins de collecte de données privées (code banque, mot de passe…). Un système efficace sauf lorsqu’un certificat est corrompu et que celui-ci est alors exploitable par n’importe quel site de phishing qui se fera alors passer pour le vrai aux yeux du navigateur.

C’est à priori ce qui aurait pu se passer. Les certificats refoulés par Google permettaient d’inspecter le trafic crypté de plusieurs domaines de l’éditeur. Certes avec la connaissance des utilisateurs du réseau privé sur lequel il était exploité, indique l’entreprise de Mountain View. Mais la méthode viole totalement les procédures de l’Anssi.

Une erreur humaine

Google s’est empressé d’alerter l’agence française. Laquelle a révoqué les certificats en question. « Suite à une erreur humaine lors d’une action de renforcement de la sécurité au ministère des Finances, des certificats numériques correspondant à des domaines extérieurs à l’administration française ont été signés par une autorité de certification de la direction générale du Trésor rattachée à l’IGC/A. La branche considérée de l’IGC/A a été coupée à titre préventif », a expliqué l’Anssi.

L’IGC/A (Infrastructure de Gestion de la Confiance de l’Administration) est l’infrastructure gérant les clefs cryptographiques opérées par l’Anssi. Sur le site de l’agence, il est précisé que « l’IGC/A permet d’instaurer un domaine de confiance interministériel et de faciliter l’authentification des téléservices de l’administration française« . Et d’indiquer que les certificats en question « permettent d’identifier officiellement les autorités de certification des administrations de l’État français » et attestent « de la qualité des pratiques de gestion des clés publiques mises en œuvre par ces autorités« . Bref, le cœur du réacteur en ce qui concerne l’authentification des services en ligne de l’Etat.

Plus qu’un acte de piratage, c’est donc une mauvaise manipulation qui aurait mis en défaut l’intégrité des certificats. Un moindre mal, en théorie. Si « cette erreur n’a eu aucune conséquence sur la sécurité des réseaux de l’administration ni sur les internautes » selon l’Anssi, Google entend néanmoins « étudier soigneusement d’éventuelles mesures complémentaires ».

crédit photo © Pavel Ignatov – shutterstock


Lire également
Prism : « le révélateur de notre incapacité à gérer nos données » pour Thales
Sécurité des Scada : il est urgent d’agir, selon l’Anssi
Il est urgent de renforcer la cybersécurité en France

Recent Posts

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

2 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

4 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

21 heures ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

22 heures ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago

Docaposte se pose en centrale cyber pour les PME

Forum InCyber 2024 - Docaposte fédère les offres d'une douzaine d'acteurs français en un Pack…

2 jours ago