Ce samedi 7 décembre, Google a bloqué plusieurs certificats numériques émis par une autorité de certification issue de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Les certificats numériques sont des éléments chiffrés servant à prouver l’identité d’un site Internet pour tout navigateur. Ces « pièces d’identité » sont fournies par des autorités certifiées et servent à empêcher tout pirate de détourner le trafic généré par un site dans le but de piéger une partie des internautes, ou de collecter des données privées à leur sujet (code bancaires…). Ce système a jusqu’alors fait ses preuves, mais lorsque des certificats sont corrompus, et donc exploitables par des tiers, les sites miroirs (ou sites de pishing) peuvent tout aussi bien se faire passer pour des plateformes authentiques et sécurisées.
C’est pourquoi, en constatant la corruption de plusieurs certificats émis par l’ANSSI pour plusieurs de ses domaines, Google s’est empressé de prévenir l’agence nationale de sécurité IT. Celui-ci a par la suite invalidé les éléments corrompus. « Suite à une erreur humaine lors d’une action de renforcement de la sécurité au ministère des Finances, des certificats numériques correspondant à des domaines extérieurs à l’administration française ont été signés par une autorité de certification de la direction générale du Trésor rattachée à l’IGC/A. La branche considérée de l’IGC/A a été coupée à titre préventif », a officiellement expliqué l’ANSSI.
Selon Silicon.fr, l’IGC/A (Infrastructure de Gestion de la Confiance de l’Administration) constitue l’infrastructure gérant les clefs cryptographiques opérées par l’ANSSI. Sur son site Internet, il est précisé que « l’IGC/A permet d’instaurer un domaine de confiance interministériel et de faciliter l’authentification des téléservices de l’administration française » . Et d’indiquer que les certificats en question « permettent d’identifier officiellement les autorités de certification des administrations de l’État français » et attestent « de la qualité des pratiques de gestion des clés publiques mises en œuvre par ces autorités » . En bref, il s’agit du cœur du système d’authentification des services en ligne de l’Etat.
C’est donc une mauvaise manipulation qui aurait mis en défaut l’intégrité des certificats, et non une attaque de cybercriminel. Un moindre mal, en théorie. Si « cette erreur n’a eu aucune conséquence sur la sécurité des réseaux de l’administration ni sur les internautes » selon l’Anssi, Google entend néanmoins « étudier soigneusement d’éventuelles mesures complémentaires ».
——–Quiz——-
Hacking, phishing, spamming? La sécurité sur internet n’a pas de secret pour vous ?
———————
Credit photo : Shutterstock.com – Copyright : Maksim Kabakou
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…