Le problème est le suivant : - l'IGC/A interdit dans sa politique la signature de tiers à l'administration http://www.ssi.gouv.fr/fr/anssi/services-securises/igc-a/ - les certificats IGC/A sont (ou étaient) installés par défaut dans les magasins des principaux clients
La signature illégitime d'un certif par une AC dont l'ACR est par défaut dans tous les navigateurs et permettrait d'intercepter toutes les connexions, même hors de l'administration concernée. Quand un employeur veut lire le flux SSL des postes de ses agents ou employés, il se fait un certificat maison et l'intègre au master ou aux postes déjà en service. Google surveille les certificats depuis le problème qui a eu lieu en Tunisie : ils se sont fait prendre comme ça. Cordialement, Raphaël Stehli Le 08/12/2013 19:13, Marc Abel a écrit : > Bonjour, > > Je comprends pas bien pourquoi ils se sont fait prendre : pour > intercepter les flux ssl l'employeur annonce à tout le personnel ce > qu'il va faire, qu'on est pas à la maison mais au boulot, que le > pare-feu va inspecter les messages et donc les certificats seront ceux > du boulot (comme on accepte déjà le certificat de la messagerie), pour > se faire passer pour google ou autre il faut avoir envie de faire ça > en douce, à l'insu des utilisateurs, est-ce concevable ? > > Marc, (dans l'administration mais pas aux finances) > ----- Original Message ----- From: "Kavé Salamatian" > <kave.salamat...@univ-savoie.fr> > To: "Raphaël Stehli" <experti...@raphael.stehli.fr> > Cc: <frnog-al...@frnog.org> > Sent: Sunday, December 08, 2013 4:38 PM > Subject: Re: [FRnOG] [ALERT] IGC/A et google > > > A priori il y’a des outils qui sont vendus afin d’intercepter des > connexions SSL sortantes et de vérifier leur contenu. Une > administration liée au ministère des finances à voulu « tester » cette > solution sur du trafic gmail. Pour ceci il faut forger un certificat > de google (tout comme n’importe quel vulgaire voleur d’identité par > phishing ou comme des gouvernement dictatoriaux voulant volant les > logins de leurs nationaux à des services sécurisé). Le certificat a > été forgé par une sous-autorité de certification rattaché à l’ANSSI et > Ils se sont fait prendre la main dans le pot de confiture. Montrant > l’amateurisme en vigueur ….. > > Kavé Salamatian > Le 8 déc. 2013 à 16:31, Raphaël Stehli <experti...@raphael.stehli.fr> > a écrit : > >> Bonjour la liste, >> >> Après plusieurs mois de lecture, il s'agit de ma première intervention. >> >> - Le Monde vient de publier un article "Google bloque des certificats de >> sécurité Internet émis par une autorité française" >> http://abonnes.lemonde.fr/technologies/article/2013/12/08/google-bloque-des-certificats-de-securite-internet-emis-par-une-autorite-francaise_3527535_651865.html >> >> >> >> - l'ANSSI a publié un communiqué de presse "Suppression d’une branche de >> l’IGC/A" >> http://www.ssi.gouv.fr/fr/menu/actualites/suppression-d-une-branche-de-l-igc-a.html >> >> où il est fait mention que "Suite à une erreur humaine lors d’une action >> de renforcement de la sécurité au ministère des finances, des >> certificats numériques correspondant à des domaines extérieurs à >> l’administration française ont été signés par une autorité de >> certification de la direction générale du Trésor rattachée à l’IGC/A." >> >> - Google indique dans un communiqué >> http://googleonlinesecurity.blogspot.it/2013/12/further-improving-digital-certificate.html?m=1 >> >> que le problème est sérieux. >> >> Quelqu'un aurait-il des informations sur ce qui s'est passé ? >> >> Bien cordialement, >> >> Raphaël Stehli >> >> -- >> Raphaël Stehli, >> Fonctionnaire détaché en cycle préparatoire de l'ENA, >> Chargé d'enseignement vacataire à l'Université de Strasbourg, >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
