Pour gérer vos consentements :
Categories: Cloud

Des certificats numériques ANSSI bloqués par Google

Ce samedi 7 décembre, Google a bloqué plusieurs certificats numériques émis par une autorité de certification issue de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Les certificats numériques sont des éléments chiffrés servant à prouver l’identité d’un site Internet pour tout navigateur. Ces « pièces d’identité » sont fournies par des autorités certifiées et servent à empêcher tout pirate de détourner le trafic généré par un site dans le but de piéger une partie des internautes, ou de collecter des données privées à leur sujet (code bancaires…). Ce système a jusqu’alors fait ses preuves, mais lorsque des certificats sont corrompus, et donc exploitables par des tiers, les sites miroirs (ou sites de pishing) peuvent tout aussi bien se faire passer pour des plateformes authentiques et sécurisées.

Une « erreur humaine » à l’origine de la corruption des certificats de l’Anssi

C’est pourquoi, en constatant la corruption de plusieurs certificats émis par l’ANSSI pour plusieurs de ses domaines, Google s’est empressé de prévenir l’agence nationale de sécurité IT. Celui-ci a par la suite invalidé les éléments corrompus. « Suite à une erreur humaine lors d’une action de renforcement de la sécurité au ministère des Finances, des certificats numériques correspondant à des domaines extérieurs à l’administration française ont été signés par une autorité de certification de la direction générale du Trésor rattachée à l’IGC/A. La branche considérée de l’IGC/A a été coupée à titre préventif », a officiellement expliqué l’ANSSI.

Selon Silicon.fr, l’IGC/A (Infrastructure de Gestion de la Confiance de l’Administration) constitue l’infrastructure gérant les clefs cryptographiques opérées par l’ANSSI. Sur son site Internet, il est précisé que « l’IGC/A permet d’instaurer un domaine de confiance interministériel et de faciliter l’authentification des téléservices de l’administration française » . Et d’indiquer que les certificats en question « permettent d’identifier officiellement les autorités de certification des administrations de l’État français » et attestent « de la qualité des pratiques de gestion des clés publiques mises en œuvre par ces autorités » . En bref, il s’agit du cœur du système d’authentification des services en ligne de l’Etat.

C’est donc une mauvaise manipulation qui aurait mis en défaut l’intégrité des certificats, et non une attaque de cybercriminel. Un moindre mal, en théorie. Si « cette erreur n’a eu aucune conséquence sur la sécurité des réseaux de l’administration ni sur les internautes » selon l’Anssi, Google entend néanmoins « étudier soigneusement d’éventuelles mesures complémentaires ».

——–Quiz——-

Hacking, phishing, spamming? La sécurité sur internet n’a pas de secret pour vous ?

———————

Credit photo : Shutterstock.com –  Copyright : Maksim Kabakou

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago