MàJ : Microsoft annonce une mise à jour automatique de sa liste des certificats de confiance pour ses systèmes d'exploitation Windows. Pour Firefox, Mozilla révoque la confiance attribuée au certificat frauduleux de l'Anssi. La mesure sera effective dans Firefox 26 disponible dans quelques heures.
-----
Ce week-end, la firme de Mountain View a indiqué avoir découvert le 3 décembre dernier plusieurs certificats numériques non autorisés sur des sites Google. Ces certificats de sécurité frauduleux ont été bloqués via une mise à jour dans Chrome (les métadonnées pour révoquer un certificat) et les autres éditeurs de navigateurs ont été prévenus.
Ils ont été émis par une autorité de certification intermédiaire qui est donc subordonnée à une autorité de certification racine et publie des certificats vers d'autres autorités de certification. Google a établi un lien avec une autorité de certification française, en l'occurrence l'Anssi.
Une des casquettes de l'Agence nationale de la sécurité des systèmes d'information est d'opérer l'infrastructure de gestion de la confiance de l'administration qualifiée de IGC/A. Cette infrastructure de gestion de clés cryptographiques émet des certificats pour l'identification des autorités de certification des administrations de l'État français.
En ses heures de grande suspicion à tout-va, il ne s'agit pas d'une tentative de surveillance mais une erreur reconnue par l'Anssi :
" Suite à une erreur humaine lors d'une action de renforcement de la sécurité au ministère des finances, des certificats numériques correspondant à des domaines extérieurs à l'administration française ont été signés par une autorité de certification de la direction générale du Trésor rattachée à l'IGC/A. "
Dans un communiqué, l'Anssi assure que cette erreur n'a eu aucune conséquence sur la sécurité des réseaux de l'administration et qui plus, ni sur les internautes.
Un certificat numérique permet de s'assurer de la légitimité et l'authenticité d'un site lors d'une connexion sécurisée. Le risque avec un certificat frauduleux est une attaque de type man-in-the-middle et une écoute des communications par un tiers.