Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
8 décembre 2013 7 08 /12 /décembre /2013 20:55
Google bloque des certificats de sécurité Internet émis par une autorité française

 

08.12.2013 Le Monde.fr

 

Une potentielle importante faille de sécurité pour les internautes a été évitée. Google a annoncé samedi avoir bloqué plusieurs certificats de sécurité émis par une autorité de certification liée à l'Agence nationale de la sécurité des systèmes d'information française (Anssi, l'organisme chargé de la sécurité informatique de l'Etat français), après avoir découvert que ces certificats étaient possiblement corrompus.

 

Les certificats de sécurité sont utilisés par les navigateurs Internet pour vérifier qu'un site sécurisé (dont l'adresse commence par « https » : messageries, banques, e-commerce…) est bien ce qu'il prétend être : le système permet théoriquement d'empêcher la création de faux sites ressemblant trait pour trait à un site légitime, mais contrôlés par un tiers qui peut ainsi espionner à loisir les communications et enregistrer mots de passe ou numéros de carte bleue.

 

Les certificats de sécurité ne peuvent être émis que par une liste fermée d'institutions et de sociétés, considérées comme sûres. Mais lorsque l'une de ces autorités de certification commet une erreur ou est victime d'un piratage, le système s'effondre : il est alors possible de créer de faux certificats de sécurité qui permettent de piéger les internautes. Google affirme avoir découvert le 3 décembre qu'une autorité liée à l'Anssi avait émis un certificat de sécurité frauduleux pour plusieurs sites détenus par Google. Ce qui peut permettre à une personne contrôlant ces certificats d'espionner les communications d'internautes croyant utiliser un site de Google, mais en réalité contrôlé par un tiers.

 

L'Anssi a reconnu dans un communiqué qu'une « erreur humaine » avait conduit à l'émission de certificats de sécurité ne respectant pas les procédures. « Cette erreur n'a eu aucune conséquence sur la sécurité des réseaux de l'administration ni sur les internautes », affirme l'administration. Mais Google, qui évoque une « faille sérieuse », a préventivement retiré de ses autorités de certification reconnues commes sûres l'autorité liée à l'Anssi, et a enjoint aux autres éditeurs de navigateurs Internet de faire de même.

Partager cet article
Repost0

commentaires

M
Merci pour cette information. Comme les erreurs humaines sont difficilement évitables, on peut aisément imaginer que ce genre d'incident puisse se produire souvent. Mais à l'heure où la sécurité informatique revêt un enjeu colossal, on n'a pas droit à l'erreur.
Répondre

Présentation

  • : RP Defense
  • : Web review defence industry - Revue du web industrie de défense - company information - news in France, Europe and elsewhere ...
  • Contact

Recherche

Articles Récents

Categories