crédit photo © bensliman hassan - shutterstock
Après Google, Microsoft, Mozilla et Opera. A la suite du concepteur de Chrome, les autres éditeurs de navigateurs ont lancé une alerte portant sur les certificats émis par la Direction Générale du Trésor, plus précisément par l’IGC/A (Infrastructure de Gestion de la Confiance de l’Administration) de cette direction, mandatée par l’Anssi (Agence nationale de la sécurité des systèmes d’information). Selon Microsoft, ces certificats SSL peuvent être utilisés pour parodier des contenus, réaliser des attaques par phishing ou mettre en place des attaques de type man-in-the-middle contre plusieurs sites Web propriétés de Google.
Pour rappel, ces certificats, émis par des États ou des sociétés privées comme Verisign, servent aux navigateurs à identifier des sites de confiance. Pour l’Etat français, l’Anssi délègue à certaines administrations l’émission de certificats par des IGC/A. On en compte environ une par ministère, auxquelles s’ajoutent les sous-délégations que peuvent eux-mêmes accorder les ministères. Dans le cas présent, c’est l’infrastructure de Bercy qui est en cause.
Joint par téléphone, Patrick Pailloux, le directeur général de l’Anssi, explique que la faille détectée par Google résulte d’une erreur humaine au sein de la Direction Générale du Trésor. « Cette direction a utilisé un équipement – un WAF, Web application firewall – afin de contrôler le trafic sortant. L’objectif étant de détecter des éventuelles attaques, dont Bercy a déjà été plusieurs fois victime. Pour ce faire, vous n’avez normalement besoin que de certificats locaux n’ayant de valeur que sur le réseau interne. Or, les équipes en place ont utilisé des certificats signés par l’IGC/A. » Selon l’Anssi, ces pratiques durent depuis la mi-octobre.
C’est cette erreur de manipulation qu’a détectée Google. Information qu’il a ensuite partagée avec les autres éditeurs de navigateurs. Selon le directeur général de l’Anssi, cette détection a fait craindre à ces sociétés qu’un assaillant ait corrompu un IGC afin de générer de faux certificats servant à légitimer des sites pirates. Une possibilité à écarter, selon Patrick Pailloux, pour lequel l’incident devrait « n’avoir aucune conséquence, les certificats émis ayant de toute façon expirés le 8 décembre. Et les sites légitimes du ministère ne sont pas affectés ».
Toutefois, Patrick Pailloux indique avoir « coupé la branche » IGC/A concernée (à savoir la sous-délégation permettant au service concerné d’émettre des certificats au nom de l’État français) et avoir lancé un audit « afin de vérifier qu’aucun autre dispositif de ce genre n’existe dans une autre administration ».
Crédit photo : © bensliman hassan – shutterstock
Voir aussi
Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…