Bonjour 1-pourquoi ils se font fait prendre? Google a detecté le « man in the middle » 2-l’employeur n’a pas a inspecter le trafic SSL qui va de son réseau vers une destination en dehors de son réseau. Il peut décider de bloquer ce traffic, mais le décrypter avec un certificat « fake » c’est du piratage caractérisé et je suis sur qu’une ribambelle de lois de s’appliquent (pas le temps de les chercher). 3- grosso modo, forger un certificat de google par une autorité de certif relève de la faute grave. L’excuse « Oups, je me suis fait pirater » aurait été plus acceptable que l’excuse « on a fait une erreur de manip ». Car pour faire une erreur de manip il faut en faire beaucoup pour arriver à mettre un certificat google dans la nature.
Bref, l’administration en question et l’ANSSI sont méchamment dans le fumier (pour ne pas dire dans le caca :-). Kavé Salamatian Le 8 déc. 2013 à 19:13, Marc Abel <fr...@harrydico.net> a écrit : > Bonjour, > > Je comprends pas bien pourquoi ils se sont fait prendre : pour intercepter > les flux ssl l'employeur annonce à tout le personnel ce qu'il va faire, qu'on > est pas à la maison mais au boulot, que le pare-feu va inspecter les messages > et donc les certificats seront ceux du boulot (comme on accepte déjà le > certificat de la messagerie), pour se faire passer pour google ou autre il > faut avoir envie de faire ça en douce, à l'insu des utilisateurs, est-ce > concevable ? > > Marc, (dans l'administration mais pas aux finances) > ----- Original Message ----- From: "Kavé Salamatian" > <kave.salamat...@univ-savoie.fr> > To: "Raphaël Stehli" <experti...@raphael.stehli.fr> > Cc: <frnog-al...@frnog.org> > Sent: Sunday, December 08, 2013 4:38 PM > Subject: Re: [FRnOG] [ALERT] IGC/A et google > > > A priori il y’a des outils qui sont vendus afin d’intercepter des connexions > SSL sortantes et de vérifier leur contenu. Une administration liée au > ministère des finances à voulu « tester » cette solution sur du trafic gmail. > Pour ceci il faut forger un certificat de google (tout comme n’importe quel > vulgaire voleur d’identité par phishing ou comme des gouvernement > dictatoriaux voulant volant les logins de leurs nationaux à des services > sécurisé). Le certificat a été forgé par une sous-autorité de certification > rattaché à l’ANSSI et Ils se sont fait prendre la main dans le pot de > confiture. Montrant l’amateurisme en vigueur ….. > > Kavé Salamatian > Le 8 déc. 2013 à 16:31, Raphaël Stehli <experti...@raphael.stehli.fr> a écrit > : > >> Bonjour la liste, >> >> Après plusieurs mois de lecture, il s'agit de ma première intervention. >> >> - Le Monde vient de publier un article "Google bloque des certificats de >> sécurité Internet émis par une autorité française" >> http://abonnes.lemonde.fr/technologies/article/2013/12/08/google-bloque-des-certificats-de-securite-internet-emis-par-une-autorite-francaise_3527535_651865.html >> >> >> - l'ANSSI a publié un communiqué de presse "Suppression d’une branche de >> l’IGC/A" >> http://www.ssi.gouv.fr/fr/menu/actualites/suppression-d-une-branche-de-l-igc-a.html >> où il est fait mention que "Suite à une erreur humaine lors d’une action >> de renforcement de la sécurité au ministère des finances, des >> certificats numériques correspondant à des domaines extérieurs à >> l’administration française ont été signés par une autorité de >> certification de la direction générale du Trésor rattachée à l’IGC/A." >> >> - Google indique dans un communiqué >> http://googleonlinesecurity.blogspot.it/2013/12/further-improving-digital-certificate.html?m=1 >> que le problème est sérieux. >> >> Quelqu'un aurait-il des informations sur ce qui s'est passé ? >> >> Bien cordialement, >> >> Raphaël Stehli >> >> -- >> Raphaël Stehli, >> Fonctionnaire détaché en cycle préparatoire de l'ENA, >> Chargé d'enseignement vacataire à l'Université de Strasbourg, >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
