Des certificats numériques ANSSI bloqués par Google

Cloud
certificat-numerique-anssi-google

Google bloque des certificats de sécurité émis par une autorité de certification mandatée par l’Anssi. Une mauvaise publicité pour l’organisme chargé de garantir la sécurité des systèmes d’information de l’Etat Français.

Ce samedi 7 décembre, Google a bloqué plusieurs certificats numériques émis par une autorité de certification issue de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Les certificats numériques sont des éléments chiffrés servant à prouver l’identité d’un site Internet pour tout navigateur. Ces « pièces d’identité » sont fournies par des autorités certifiées et servent à empêcher tout pirate de détourner le trafic généré par un site dans le but de piéger une partie des internautes, ou de collecter des données privées à leur sujet (code bancaires…). Ce système a jusqu’alors fait ses preuves, mais lorsque des certificats sont corrompus, et donc exploitables par des tiers, les sites miroirs (ou sites de pishing) peuvent tout aussi bien se faire passer pour des plateformes authentiques et sécurisées.

Une « erreur humaine » à l’origine de la corruption des certificats de l’Anssi

C’est pourquoi, en constatant la corruption de plusieurs certificats émis par l’ANSSI pour plusieurs de ses domaines, Google s’est empressé de prévenir l’agence nationale de sécurité IT. Celui-ci a par la suite invalidé les éléments corrompus. « Suite à une erreur humaine lors d’une action de renforcement de la sécurité au ministère des Finances, des certificats numériques correspondant à des domaines extérieurs à l’administration française ont été signés par une autorité de certification de la direction générale du Trésor rattachée à l’IGC/A. La branche considérée de l’IGC/A a été coupée à titre préventif », a officiellement expliqué l’ANSSI.

Selon Silicon.fr, l’IGC/A (Infrastructure de Gestion de la Confiance de l’Administration) constitue l’infrastructure gérant les clefs cryptographiques opérées par l’ANSSI. Sur son site Internet, il est précisé que « l’IGC/A permet d’instaurer un domaine de confiance interministériel et de faciliter l’authentification des téléservices de l’administration française » . Et d’indiquer que les certificats en question « permettent d’identifier officiellement les autorités de certification des administrations de l’État français » et attestent « de la qualité des pratiques de gestion des clés publiques mises en œuvre par ces autorités » . En bref, il s’agit du cœur du système d’authentification des services en ligne de l’Etat.

C’est donc une mauvaise manipulation qui aurait mis en défaut l’intégrité des certificats, et non une attaque de cybercriminel. Un moindre mal, en théorie. Si « cette erreur n’a eu aucune conséquence sur la sécurité des réseaux de l’administration ni sur les internautes » selon l’Anssi, Google entend néanmoins « étudier soigneusement d’éventuelles mesures complémentaires ».

anssi-logo

——–Quiz——-

Hacking, phishing, spamming? La sécurité sur internet n’a pas de secret pour vous ?

———————

Credit photo : Shutterstock.com –  Copyright : Maksim Kabakou

Lire aussi :