Shaare your links...
25644 links
Liens en vrac de sebsauvage Home Login RSS Feed ATOM Feed Tag cloud Picture wall Daily
Links per page: 20 50 100
page 1 / 1
  • Google Online Security Blog: Further improving digital certificate security
    QUOI ?    PARDON ????
    L'ANSSI (Agence nationale de la sécurité des systèmes d’information), vous savez cette GRANDE autorité nationale française qui est censée nous PROTÉGER a visiblement créé et diffusé des certificats d'autorité intermédiaires, permettant à d'autres de créer des certificats frauduleux pour plusieurs domaines appartenant à Google. Et des certificats frauduleux ont effectivement été observés par Google (dans un équipement commercial non nommé, et utilisé dans une entreprise non nommée.)

    La réponse de l'ANSSI ? "oups c'était juste une erreur": http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-igc-a-branch-808.html

    Alors ça peut:
     a) soit effectivement être une erreur.
     b) soit ne pas en être une, et cela n'est que la pointe de l'iceberg qui permet à différents "copains" du gouvernement français d'espionner SSL ou faire du MITM tranquillement (que ce soient des agences de renseignement ou des entreprises privées).

    Que ce soit l'un ou l'autre, cela montre à quel point le modèle des autorités de certifications ne vaut absolument plus rien. Mozilla ferait aussi bien de supprimer les alertes quand Firefox reçoit un certificat non signé par une autorité.

    EDIT: Le certificat racine de l'ANSSI n'est pas inclus dans Firefox. L'agence nationale a demandé son inclusion en mai 2012, mais ne l'a pas encore obtenue: http://www.mozilla.org/projects/security/certs/pending/#ANSSI%20%28Government%20of%20France%29

    Ceci dit, vous avez quand même dans Firefox un certificat racine du gouvernement français:
       E = igca@sgdn.pm.gouv.fr
       CN = IGC/A
       OU = DCSSI
       O = PM/SGDN
       L = Paris
       ST = France
       C = FR

    DCSSI n'est rien d'autre que l'ancien nom de l'ANSSI.
    Vous le trouverez dans la liste des certificats d'autorité sous le petit nom de PM/SGDN > IGC/A.

    SGDN = Secrétariat général de la défense nationale

    EDIT: chez Reflets: http://reflets.info/mitm-de-google-par-l-anssi-la-theorie-du-doigt-qui-pointait-la-lune/
    Reflets suggère que ces certificats auraient été utilisés en interne pour contrôler les flux de données et éviter des fuites, et que les utilisateurs auraient été prévenus. Je demande quand même à voir la tronche de leur charte informatique, car j'ai de gros doutes. Même en dehors de cela, je trouve la pratique limite.
    Question intéressante levée par Reflets: Comment Google a-t-il vu ces certificats, vu qu'ils n'étaient déployés qu'en interne ?  Une fuite d'un employé, ou autre ?  On aura pas la réponse...
    Sun Dec 8 22:54:07 2013 - permalink -
    - http://googleonlinesecurity.blogspot.fr/2013/12/further-improving-digital-certificate.html
    security ssl
Links per page: 20 50 100
page 1 / 1
Shaarli 0.0.41 beta - 2009-09-27 - The personal, minimalist, super-fast, no-database delicious clone. By sebsauvage.net. Theme by idleman.fr. I'm on Mastodon.