Bonjour
1-pourquoi ils se font fait prendre?
Google a detecté le « man in the middle »
2-l’employeur n’a pas a inspecter le trafic SSL qui va de son réseau vers une 
destination en dehors de son réseau. Il peut décider de bloquer ce traffic, 
mais le décrypter avec un certificat « fake » c’est du piratage caractérisé et 
je suis sur qu’une ribambelle de lois de s’appliquent (pas le temps de les 
chercher).
3- grosso modo, forger un certificat de google par une autorité de certif 
relève de la faute grave. L’excuse « Oups, je me suis fait pirater » aurait été 
plus acceptable que l’excuse « on a fait une erreur de manip ». Car pour faire 
une erreur de manip il faut en faire beaucoup pour arriver à mettre un 
certificat google dans la nature.

Bref, l’administration en question et l’ANSSI sont méchamment dans le fumier 
(pour ne pas dire dans le caca :-).

Kavé Salamatian 




Le 8 déc. 2013 à 19:13, Marc Abel <fr...@harrydico.net> a écrit :

> Bonjour,
> 
> Je comprends pas bien pourquoi ils se sont fait prendre : pour intercepter 
> les flux ssl l'employeur annonce à tout le personnel ce qu'il va faire, qu'on 
> est pas à la maison mais au boulot, que le pare-feu va inspecter les messages 
> et donc les certificats seront ceux du boulot (comme on accepte déjà le 
> certificat de la messagerie), pour se faire passer pour google ou autre il 
> faut avoir envie de faire ça en douce, à l'insu des utilisateurs, est-ce 
> concevable  ?
> 
> Marc, (dans l'administration mais pas aux finances)
> ----- Original Message ----- From: "Kavé Salamatian" 
> <kave.salamat...@univ-savoie.fr>
> To: "Raphaël Stehli" <experti...@raphael.stehli.fr>
> Cc: <frnog-al...@frnog.org>
> Sent: Sunday, December 08, 2013 4:38 PM
> Subject: Re: [FRnOG] [ALERT] IGC/A et google
> 
> 
> A priori il y’a des outils qui sont vendus afin d’intercepter des connexions 
> SSL sortantes et de vérifier leur contenu. Une administration liée au 
> ministère des finances à voulu « tester » cette solution sur du trafic gmail. 
> Pour ceci il faut forger un certificat de google (tout comme n’importe quel 
> vulgaire voleur d’identité par phishing ou comme des gouvernement 
> dictatoriaux voulant volant les logins de leurs nationaux à des services 
> sécurisé).  Le certificat a été forgé par une sous-autorité de certification 
> rattaché à l’ANSSI et Ils se sont fait prendre la main dans le pot de 
> confiture. Montrant l’amateurisme en vigueur …..
> 
> Kavé Salamatian
> Le 8 déc. 2013 à 16:31, Raphaël Stehli <experti...@raphael.stehli.fr> a écrit 
> :
> 
>> Bonjour la liste,
>> 
>> Après plusieurs mois de lecture, il s'agit de ma première intervention.
>> 
>> - Le Monde vient de publier un article "Google bloque des certificats de
>> sécurité Internet émis par une autorité française"
>> http://abonnes.lemonde.fr/technologies/article/2013/12/08/google-bloque-des-certificats-de-securite-internet-emis-par-une-autorite-francaise_3527535_651865.html
>> 
>> 
>> - l'ANSSI a publié un communiqué de presse "Suppression d’une branche de
>> l’IGC/A"
>> http://www.ssi.gouv.fr/fr/menu/actualites/suppression-d-une-branche-de-l-igc-a.html
>> où il est fait mention que "Suite à une erreur humaine lors d’une action
>> de renforcement de la sécurité au ministère des finances, des
>> certificats numériques correspondant à des domaines extérieurs à
>> l’administration française ont été signés par une autorité de
>> certification de la direction générale du Trésor rattachée à l’IGC/A."
>> 
>> - Google indique dans un communiqué
>> http://googleonlinesecurity.blogspot.it/2013/12/further-improving-digital-certificate.html?m=1
>> que le problème est sérieux.
>> 
>> Quelqu'un aurait-il des informations sur ce qui s'est passé ?
>> 
>> Bien cordialement,
>> 
>> Raphaël Stehli
>> 
>> -- 
>> Raphaël Stehli,
>> Fonctionnaire détaché en cycle préparatoire de l'ENA,
>> Chargé d'enseignement vacataire à l'Université de Strasbourg,
>> 
>> 
>> ---------------------------
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/ 
> 
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à