Ce samedi 7 décembre, Google a bloqué plusieurs certificats numériques émis par une autorité de certification issue de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Les certificats numériques sont des éléments chiffrés servant à prouver l’identité d’un site Internet pour tout navigateur. Ces « pièces d’identité » sont fournies par des autorités certifiées et servent à empêcher tout pirate de détourner le trafic généré par un site dans le but de piéger une partie des internautes, ou de collecter des données privées à leur sujet (code bancaires…). Ce système a jusqu’alors fait ses preuves, mais lorsque des certificats sont corrompus, et donc exploitables par des tiers, les sites miroirs (ou sites de pishing) peuvent tout aussi bien se faire passer pour des plateformes authentiques et sécurisées.
C’est pourquoi, en constatant la corruption de plusieurs certificats émis par l’ANSSI pour plusieurs de ses domaines, Google s’est empressé de prévenir l’agence nationale de sécurité IT. Celui-ci a par la suite invalidé les éléments corrompus. « Suite à une erreur humaine lors d’une action de renforcement de la sécurité au ministère des Finances, des certificats numériques correspondant à des domaines extérieurs à l’administration française ont été signés par une autorité de certification de la direction générale du Trésor rattachée à l’IGC/A. La branche considérée de l’IGC/A a été coupée à titre préventif », a officiellement expliqué l’ANSSI.
Selon Silicon.fr, l’IGC/A (Infrastructure de Gestion de la Confiance de l’Administration) constitue l’infrastructure gérant les clefs cryptographiques opérées par l’ANSSI. Sur son site Internet, il est précisé que « l’IGC/A permet d’instaurer un domaine de confiance interministériel et de faciliter l’authentification des téléservices de l’administration française » . Et d’indiquer que les certificats en question « permettent d’identifier officiellement les autorités de certification des administrations de l’État français » et attestent « de la qualité des pratiques de gestion des clés publiques mises en œuvre par ces autorités » . En bref, il s’agit du cœur du système d’authentification des services en ligne de l’Etat.
C’est donc une mauvaise manipulation qui aurait mis en défaut l’intégrité des certificats, et non une attaque de cybercriminel. Un moindre mal, en théorie. Si « cette erreur n’a eu aucune conséquence sur la sécurité des réseaux de l’administration ni sur les internautes » selon l’Anssi, Google entend néanmoins « étudier soigneusement d’éventuelles mesures complémentaires ».
——–Quiz——-
Hacking, phishing, spamming? La sécurité sur internet n’a pas de secret pour vous ?
———————
Credit photo : Shutterstock.com – Copyright : Maksim Kabakou
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…