Salut !
Dans le sujet ''Ce que Sarkozy voulait, Hollande l'a fait ! la terrible loi votée par les députés le 03 décembre 2013 qui fait de nous des fliqués sans qu'un juge en ait décidé a été évoquée.
Se pourrait-il que les services français d'espionnage se soient rués sur l'occasion avant même l'adoption définitive par le Sénat le 10 décembre 2013 ?
Dès le 03 décembre 2013, des certificats numériques non autorisés ont été découverts dans plusieurs domaines de Google. Ceux-ci auraient été délivrés par une autorité de certification intermédiaire (CA). Leur traçage a permis de remonter jusqu'à l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) rattachée au Secrétaire Général de la Défense et de la Sécurité Nationale (SGDSN) .
Les navigateurs Web utilisent une chaîne de certificats pour déterminer si un site Web sécurisé est authentique. De faux certificats SSL (Secure Sockets Layer) sont utilisés par les pirates, mais ils sont aussi parfois utilisés à des fins de surveillance internes qui n'ont pas objectifs néfastes.
L'inspection du trafic SSL peut aider les organismes à prévenir les fuites de données ou découvrir les connexions malveillantes lancées par des logiciels malveillants sur leurs propres réseaux. De nombreux appareils de sécurité offrent cette capacité, mais la méthode généralement acceptée consiste à utiliser des certificats auto-générés à cet effet.
L'utilisation de certificats CA émis par des organismes de confiance pour l'inspection du trafic SSL est dangereux parce que si un tel certificat est volé, il peut être utilisé pour des attaques de type ''man in the middle'' (MITM) pour intercepter le trafic en dehors des réseaux privés sur l' Internet.
Le certificat CA intermédiaire impliqué dans l'incident aurait été délivré à la Direction Générale du Trésor, du ministère de l'Économie et des Finances français.
Selon l'ANSSI, son utilisation pour signer des certificats de noms de domaine n'appartenant pas à l'administration française serait le résultat d'une ''erreur humaine''.
« Suite à une erreur humaine lors d’une action de renforcement de la sécurité au ministère des finances, des certificats numériques correspondant à des domaines extérieurs à l’administration française ont été signés par une autorité de certification de la direction générale du Trésor rattachée à l’IGC/A. »
Est-ce crédible ? Un incident de même nature a eu lieu l'année dernière en Turquie. Un certificat délivré par l'agence Turktrust a été inséré dans un pare-feu afin d'inspecter le trafic SSL.
Les certificats français ont été bloqués par Google car « ils permettaient d’inspecter le trafic crypté de plusieurs domaines de l’éditeur ».
@+
Further improving digital certificate security (Adam Langley .. Google Online Security Blog .. 07 décembre 2013)
Google bloque des certificats numériques corrompus… de l’Anssi (Christophe Lagane .. Silicon.fr .. 09 décembre 2013)