Google découvre de faux certificats émis par l’Anssi
Google a découvert des certificats non autorisés concernant plusieurs de ses domaines. Il renvoyait à l’Agence Nationale pour la sécurité des systèmes d’information.
C’est dans un billet de blog que Google explique avoir mis la main, le 3 décembre dernier, sur « des certificats numériques non autorisés pour plusieurs domaines de Google ». Des certificats permettant à un tiers de se faire passer pour un site de Google et d’intercepter des communications vers celui-ci. Surprise, ce certificat a été émis par une autorité de certification intermédiaire renvoyant vers l’Agence nationale de la sécurité des systèmes d’information, l’Anssi.
Google indique avoir immédiatement mis à jour la liste de révocation de certificats de Chrome pour bloquer l’autorité intermédiaire de certification concernée, avant d’alerter l’Anssi.
Dans un communiqué, l’agence fait état d’une « erreur humaine » survenue dans le cadre d’un « processus visant à renforcer la sécurité IT globale du ministère français des Finances ». L’autorité intermédiaire concernée n’étant autre que la direction générale du Trésor.
Google explique en outre que l’Anssi a trouvé les certificats en question dans « un équipement commercial, sur un réseau privé, pour inspecter du trafic chiffré », sans que cette inspection ne soit cachée des utilisateurs du réseau.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
-
![]()
Migration des SI sensibles vers le cloud : l’ANSSI clarifie sa position
Par: Gaétan Raoul
-
![]()
Cloud de confiance : l’ambitieux projet de Cloud Temple
Par: Gaétan Raoul
-
![]()
Reconnaissance mutuelle des certificats de sécurité entre France et Allemagne
Par: Valéry Rieß-Marchive
-
![]()
Sept régions vont avoir leur centre de réponse à incident cyber
Par: Valéry Rieß-Marchive
