Google bloque des certificats liés à l'administration française - MàJ

Le par  |  2 commentaire(s)
https

Google a bloqué des certificats numériques non autorisés sur plusieurs de ses domaines. Pour la France, l'Agence nationale de la sécurité des systèmes d'information a reconnu une erreur humaine.

MàJ : Microsoft annonce une mise à jour automatique de sa liste des certificats de confiance pour ses systèmes d'exploitation Windows. Pour Firefox, Mozilla révoque la confiance attribuée au certificat frauduleux de l'Anssi. La mesure sera effective dans Firefox 26 disponible dans quelques heures.

-----

Ce week-end, la firme de Mountain View a indiqué avoir découvert le 3 décembre dernier plusieurs certificats numériques non autorisés sur des sites Google. Ces certificats de sécurité frauduleux ont été bloqués via une mise à jour dans Chrome (les métadonnées pour révoquer un certificat) et les autres éditeurs de navigateurs ont été prévenus.

Anssi-logo Ils ont été émis par une autorité de certification intermédiaire qui est donc subordonnée à une autorité de certification racine et publie des certificats vers d'autres autorités de certification. Google a établi un lien avec une autorité de certification française, en l'occurrence l'Anssi.

Une des casquettes de l'Agence nationale de la sécurité des systèmes d'information est d'opérer l'infrastructure de gestion de la confiance de l'administration qualifiée de IGC/A. Cette infrastructure de gestion de clés cryptographiques émet des certificats pour l'identification des autorités de certification des administrations de l'État français.

En ses heures de grande suspicion à tout-va, il ne s'agit pas d'une tentative de surveillance mais une erreur reconnue par l'Anssi :

" Suite à une erreur humaine lors d'une action de renforcement de la sécurité au ministère des finances, des certificats numériques correspondant à des domaines extérieurs à l'administration française ont été signés par une autorité de certification de la direction générale du Trésor rattachée à l'IGC/A. "

Dans un communiqué, l'Anssi assure que cette erreur n'a eu aucune conséquence sur la sécurité des réseaux de l'administration et qui plus, ni sur les internautes.

Un certificat numérique permet de s'assurer de la légitimité et l'authenticité d'un site lors d'une connexion sécurisée. Le risque avec un certificat frauduleux est une attaque de type man-in-the-middle et une écoute des communications par un tiers.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1588032
Une mise à jour d'Opera est aussi diffusée pour blacklister les certificats en question.
Les utilisateurs d'Opera Desktop 12 n'ont pas besoin de mise à jour.
http://blogs.opera.com/security/2013/12/certificate-update/
Le #1588092
"...l'Anssi assure ... aucune conséquence sur la sécurité...">>>Mouhai, comme d'hab'...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]