Google découvre de faux certificats émis par l’Anssi

Google a découvert des certificats non autorisés concernant plusieurs de ses domaines. Il renvoyait à l’Agence Nationale pour la sécurité des systèmes d’information.

C’est dans un billet de blog que Google explique avoir mis la main, le 3 décembre dernier, sur « des certificats numériques non autorisés pour plusieurs domaines de Google ». Des certificats permettant à un tiers de se faire passer pour un site de Google et d’intercepter des communications vers celui-ci. Surprise, ce certificat a été émis par une autorité de certification intermédiaire renvoyant vers l’Agence nationale de la sécurité des systèmes d’information, l’Anssi.

Google indique avoir immédiatement mis à jour la liste de révocation de certificats de Chrome pour bloquer l’autorité intermédiaire de certification concernée, avant d’alerter l’Anssi.
Dans un communiqué, l’agence fait état d’une « erreur humaine » survenue dans le cadre d’un « processus visant à renforcer la sécurité IT globale du ministère français des Finances ». L’autorité intermédiaire concernée n’étant autre que la direction générale du Trésor. 
Google explique en outre que l’Anssi a trouvé les certificats en question dans « un équipement commercial, sur un réseau privé, pour inspecter du trafic chiffré », sans que cette inspection ne soit cachée des utilisateurs du réseau. 

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close