Google a publié un bulletin pour dénoncer un problème de certificat apparu sur leurs écrans le 3 décembre. Une enquête a mis en évidence plusieurs certificats non autorisés visant plusieurs domaines Google et émis par une autorité de certification en relation avec l’ANSSI.

Pour colmater la brèche, Google a bloqué ces certificats corrompus dans Chrome, tout en entrant en discussions avec l’ANSSI. Selon les éléments en possession du géant américain, ces certificats étaient utilisés sur le réseau privé d’un dispositif commercial, en pleine connaissance des utilisateurs afin d’inspecter le trafic chiffré.

Une violation grave

Selon Google, « cet incident représente une violation grave et démontre pourquoi le certificat de transparence, que nous avons développés en 2011 et préconisé depuis, est si important ». Et pour cause, ces certificats, qui jouent le rôle de carte d’identité numérique, permettent de s’assurer notamment qu’un site sécurisé n’est pas en réalité une simple imitation par phishing.

L’Agence nationale des systèmes d’information, qui devrait voir ses pouvoirs accentués lors du vote de la loi de programmation militaire, a elle aussi signalé dans un communiqué l’incident, tout en le minimisant.

Une simple erreur humaine

Elle le relègue en effet à une simple « erreur humaine lors d’une action de renforcement de la sécurité au ministère des Finances », sans détail particulier sur ces travaux. L’agence précise simplement que ces certificats numériques « correspondant à des domaines extérieurs à l’administration française ont été signés par une autorité de certification de la direction générale du Trésor rattachée à l’IGC/A. »

Elle assure que ce bug humain n’a eu aucune conséquence sur la sécurité des réseaux de l’administration ni sur les internautes. En outre, « la branche considérée de l’IGC/A a été coupée à titre préventif » et des travaux sont envisagés pour renforcer les procédures.

L’IGC/A est l’infrastructure de gestion de la confiance de l’administration, c’est elle qui gère les clés cryptographiques (IGC) opérées par l’Agence nationale de la sécurité des systèmes d’information, l’autorité de certification racine de l’État français. Ces certificats permettent alors de créer une zone de confiance en ce sens qu’ils servent à « identifier officiellement les autorités de certification des administrations de l’État français ».

Spécialement, « ils attestent également de la qualité des pratiques de gestion des clés publiques mises en œuvre par ces autorités. Ils sont délivrés au terme d’un audit et peuvent être révoqués en cas de défaillance ». Ce dispositif sert par exemple à faciliter l’authentification des téléservices de l’administration française. Les certificats autosignés de l’IGC/A « ont vocation à être intégrés dans les logiciels de communication installés sur les ordinateurs des usagers et des administrations, pour permettre la reconnaissance automatique des certificats du domaine de confiance IGC/A ».