Google a dénoncé sur son blog dédié à la sécurité un problème de certificat ce 3 décembre. L’entreprise américaine a bloqué plusieurs certificats non autorisés visant ses domaines, émis par une autorité de certification en relation avec l’ANSSI. Pour faire le point, Patrick Pailloux, directeur général de l’Agence nationale des systèmes d'information, a bien voulu répondre à plusieurs de nos questions.
Google a indiqué ce week-end avoir bloqué une liste de plusieurs certificats corrompus dans Chrome, dénonçant « une violation grave » du dispositif et mettant en cause une autorité en liaison avec l'ANSSI. De son côté, celle-ci a expliqué sur son site ce problème, évoquant une « erreur humaine lors d’une action de renforcement de la sécurité au ministère des Finances ».
Pouvez-vous nous résumer le mécanisme de certification ?
Sur internet, il y a des systèmes qui visent à authentifier les sites de confiance. Les certificats permettent aux différents navigateurs de reconnaître qu’on est en face d’un partenaire de confiance via du trafic par HTTPS. Toute l’astuce est que les trois principaux navigateurs, Internet Explorer, Firefox et Chrome, reconnaissent un certain nombre d’autorités de certification comme de confiance et donc pouvant délivrer des certificats qu’eux-mêmes vont reconnaître.
Dans ces autorités de certification, vous avez quantité de gens, des entreprises privées, quelques États. La plus grosse entreprise c’est Verisign. L’État français le fait aussi avec l’ANSSI à la tête d’un dispositif qui se nomme l’IGC/A (infrastructure de gestion de clés cryptographiques, NDLR) Tout repose donc sur la confiance qu’on peut avoir dans les autorités de certifications. Les trois principaux acteurs que sont Microsoft, la Fondation Mozilla et Google ont des politiques d’acceptation. Chaque autorité de certification doit donc démontrer à ces éditeurs qu’ils sont des gens sérieux, via des politiques de certifications et des audits.
S’agissant de l’État français, nous avons une IGC centrale pour délivrer des certifications au profit des agents de l’État, mais aussi pour les serveurs des sites d’administrations dont les services fiscaux. Cette mécanique s’appuie sur système de délégation : l’ANSSI a une IGC centrale qu’elle délègue aux ministères lesquels peuvent eux-mêmes déléguer à leurs directions qui sont en capacité de délivrer des certificats.
Que s’est-il passé exactement ce week-end ?
La direction générale du Trésor est particulièrement sensibilisée aux attaques informatiques, compte tenu de ce qu’elle a vécu (voir ce cas de piratage, NDLR). Le service informatique a donc mis en place un WAF, web application firewall, pratique classique pour contrôler le trafic interne et sortant afin de savoir s’il n’y a pas d’attaque. Pour faire cela, vous avez besoin de certificats. La méthode classique est d’utiliser des certificats locaux qui ne sont pas reconnus et qui n’ont de valeur que dans le réseau interne. Or, ils ont utilisé l’IGC/A pour signer ces certificats. C’est là qu’est l’erreur et ce qui s’est passé concrètement.
Et ensuite ?
Google, qui a détecté cela, a informé Microsoft et la Fondation Mozilla. Quand on a été prévenu, on a assez rapidement trouvé l’origine du dispositif qui a été supprimé. Nous avons par ailleurs coupé la branche de l’IGC/A concernée. Maintenant, on est en train de prendre un certain nombre de mesures tout en jouant la transparence : une erreur a été faite, tout le dispositif reposant sur la confiance, il s’agit pour nous d’expliquer ce qui s’est passé. Nous sommes en train par ailleurs de vérifier – nous avons presque fini - qu’il n’y a pas d’autres cas dans l’administration. Nous lançons aussi une campagne d’audit pour savoir si les certifications sont bien appliquées. Enfin, à moyen terme, nous regardons si notre architecture technique est bonne ou s’il faut l’adapter.
Comment Google a-t-il détecté cette manipulation ?
Objectivement, on ne s’est pas concentré sur cela.
Quels sites Google étaient en cause ?
On n’a pas regardé dans le détail la liste des certificats, on a coupé l’ensemble. Il y a eu probablement eu plusieurs, mais ils ne sont pas sortis et sont restés à l’intérieur du réseau. En théorie, il n’y a pas de dégât.
Il a été évoqué un risque d’attaque par Man in the middle…
On parle d’attaque par Man in the Middle car c’est la technique utilisée dans le WAF où on regarde le trafic à l’intérieur. Ce qu’on craint beaucoup dans ce genre d’affaires, c’est surtout une corruption de l’infrastructure de gestion de clefs, c’est-à-dire des attaquants qui se font signer des certificats pour ensuite aller mener des attaques, créer de faux sites reconnus par les navigateurs ou pour faire une attaque par « l’homme du milieu ».
Certains ont aussi tissé un lien entre cet incident et le projet de loi de programmation militaire...
J’ai vu. Franchement, ce qui s’est passé, c’est une erreur informatique. Ils ont mis un serveur de contrôle des flux pour vérifier qu’il n’y avait pas d’attaque et plutôt que de prendre un certificat à valeur locale, ils ont pris un certificat signé par l’IGC/A. C’est l’erreur. C’est tout et cela n’a strictement rien à voir avec tous ces débats.
Il y a tout de même une différence d’appréciation. Vous évoquez une erreur humaine, Google d’un grave problème…
Quelqu’un a fait quelque chose qu’il ne devait pas faire. Comme le dispositif repose sur la confiance – Google, Microsoft, Mozilla ont des politiques de sécurité, ils ont confiance dans un certain nombre de personnes - si quelqu'un ne respecte pas la politique de certification, ils disent que c’est grave. Dans l’absolu, de leur point de vue, je ne peux leur porter complètement tort. Aujourd’hui, cela n’a pas eu de conséquence et ce sont des pratiques qu’il ne faut pas avoir.
Merci Patrick Pailloux.
