En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Le ministère des finances a falsifié des certificats Google

Apparemment par mégarde, le ministère des finances a fait un mauvais usage des certificats de l’ANSSI. Résultats : des sites de Google ont été signés au titre de l'administration française.

laisser un avis
Patrick Pailloux
Patrick Pailloux
Directeur général de l'ANSSI
Déléguer c’est bien, mais cela comporte parfois des risques. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) vient d’en faire l’expérience. En tant qu’autorité de certification, elle émet des certificats par l’intermédiaire de l’IGC/A (infrastructure de gestion de la confiance de l’administration). Et délègue aux ministères la création de certificats pour garantir aux internautes l’identité de leurs sites web. Le ministère de l’économie et des finances (MINEFI) produit par exemple le certificat associé au site impots.gouv.fr.
Or récemment, des certificats ont été émis par Bercy pour certifier des sites n’ayant rien à voir avec ceux de l’Etat, comme ceux de Google. C’est d’ailleurs ce dernier qui s’en est aperçu et qui a prévenu l’ANSSI. Avec de tels certificats, l'utilisateur croit se connecter à un site en HTTPS alors que c'est un tiers (le ministère des finances ou un pirate) qui chiffre le trafic. Ce dernier pourrait alors le décrypter.

Une erreur humaine a priori sans conséquence

Une erreur humaine est à l’origine de la création de ces certificats. Une « boulette » comme la qualifie Patrick Pailloux, directeur général de l’ANSSI. « Compte tenu des attaques informatiques passées, un dispositif a été mis en place pour superviser les accès web sortant et entrant de Bercy » ajoute-t-il. Pour réaliser cette supervision, des certificats locaux sur les serveurs du MINEFI sont nécessaires. Or ce sont des certificats gouvernementaux et non pas locaux qui ont été utilisés. Au lieu de n’être valable qu’à l’intérieur de l’infrastructure de Bercy, ils étaient donc valables à l’extérieur. Les serveurs de Google étaient signés au titre de l’administration de française, ce qui est contraire aux règles des autorités de confiance. Heureusement, « Les certificats créés expiraient hier. Et, à notre connaissance, aucun d’entre eux n’avait été récupéré » assure Patrick Pailloux. Aucun attaque n’a été déplorée pour l’instant.

Une vérification des procédures de l’ANSSI en cours

« Nous sommes en train de vérifier qu’aucun mécanisme similaire n’est utilisé dans une autre administration française » explique Patrick Pailloux. En attendant, le service ayant délivré les certificats problématiques n’a plus le droit d’en créer. Et des audits ont été lancés pour vérifier que l’ensemble de la chaîne de délégation respecte la politique de certification. A terme, certaines procédures seront sans doute à revoir. Même si ce type d’erreur n’est pas courant. « A ma connaissance, cela n’était encore jamais arrivé en France » conclu Patrick Pailloux. Espérons que cela ne se reproduira plus.
envoyer
par mail
imprimer
l'article


@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Regin, le malware furtif qui espionne à tout va
La banque anglaise RBS paie cher sa méga-panne informatique de 2012
Samsung s'allie à BlackBerry pour sécuriser les flottes de mobiles Galaxy
Bull et Gras Savoye assurent les entreprises contre les cyber-risques
Sécurité: les pratiques des salariés divergent des consignes édictées
[Vidéo 01 Replay] La sécurisation des données personnelles sur le web préoccupe les Français
[Vidéo 01 Replay] Sécurité numérique : Gemalto poursuit sa conquête du marché
Résultats T3 : Gemalto confirme ses objectifs pour l’année
Touch ID: une sécurisation bienvenue pour l'iPad en entreprise
L'attitude des salariés français induirait des risques sécuritaires
Etats-Unis : le groupe de discount Kmart victime d'une cyber-attaque
Sécurité : Symantec se scinde en deux
Les banques américaines victimes d'une vague de cyberattaques
Les pirates ont-ils désormais toujours un coup d'avance ?
Sébastien Faivre (Brainwave) : « Mettre une porte blindée ne suffit plus à protéger une entreprise »
Comment l’armée française se prépare à la cyberguerre
Les données personnelles de 76 millions de ménages compromises lors d'une cyber-attaque contre JP Morgan
Cybersécurité : l'avènement des objets connectés va poser d'énormes défis
Sécurité : face aux menaces, l’Anssi appelle à plus de collaboration entre les entreprises
Assises de la sécurité : l'Anssi insiste sur une réponse collective aux menaces