Google découvre de faux certificats émis par l’Anssi

Google a découvert des certificats non autorisés concernant plusieurs de ses domaines. Il renvoyait à l’Agence Nationale pour la sécurité des systèmes d’information.

C’est dans un billet de blog que Google explique avoir mis la main, le 3 décembre dernier, sur « des certificats numériques non autorisés pour plusieurs domaines de Google ». Des certificats permettant à un tiers de se faire passer pour un site de Google et d’intercepter des communications vers celui-ci. Surprise, ce certificat a été émis par une autorité de certification intermédiaire renvoyant vers l’Agence nationale de la sécurité des systèmes d’information, l’Anssi.

Google indique avoir immédiatement mis à jour la liste de révocation de certificats de Chrome pour bloquer l’autorité intermédiaire de certification concernée, avant d’alerter l’Anssi.
Dans un communiqué, l’agence fait état d’une « erreur humaine » survenue dans le cadre d’un « processus visant à renforcer la sécurité IT globale du ministère français des Finances ». L’autorité intermédiaire concernée n’étant autre que la direction générale du Trésor. 
Google explique en outre que l’Anssi a trouvé les certificats en question dans « un équipement commercial, sur un réseau privé, pour inspecter du trafic chiffré », sans que cette inspection ne soit cachée des utilisateurs du réseau. 

Approfondir

Soyez le premier à commenter

M'envoyer une notification dès qu'un autre membre commente.

Merci de créer un identifiant pour pouvoir poster votre commentaire.

- ANNONCES GOOGLE

Close