Quand l’ANSSI utilise de faux certificats Google pour un MITM

Google a récemment établi que le gouvernement français utilisait de faux certificats du domaine Google afin d'effectuer une attaque Man In The Middle (MITM ou MIM) sur certains réseaux privés.

Adam Langely, un responsable de la sécurité chez Google décrit l'accident comme une "faille de sécurité sérieuse" qui a été découverte ce mois-ci (3 décembre) . Le certificat en question semble avoir été créé par l'ANSSI qui travail étroitement avec le ministère de la défense Français.

Concrètement, un man in the middle, c'est quoi ?

L'attaque Man In The Middle consiste pour un attaquant à se placer entre le client et le serveur au niveau des communications et d'intercepter celles-ci afin de les lires, les modifier, les rejouer  et ensuite les faire aller à leur bon destinataire pour n’alerter aucunes des deux parties :

ANSSIGoogle

Adam Langely annonce que les informations de révocation des certificats sur Chrome ont subit une mise à jour immédiatement après la découverte de cette attaque de l'ANSSI afin de bloquer l'attaque. Microsoft explique que cela pourrait être une menace critique si un tel certificat signé venait à tomber dans de mauvaises mains.  «Un attaquant pourrait utiliser ces certificats pour usurper du contenu, effectuer des attaques de phishing ou effectuer des attaques man-in-the-middle contre un grand nombre de domaines appartenant à Google, y compris google.com et youtube.com."

Pour information, la NSA est également accusé d'avoir utilisé des attaques man-in-the-middle par des certificats non autorisés contre Google dans le passé. Google a déclaré, «Nous sommes en train de travailler pour apporter cette protection supplémentaire pour les utilisateurs non authentifiés".

Plus d'information : Le billet d'Adam Langley

Le 12 décembre, Google a annoncé que l'autorité de certification de l'ANSSI sera limitée aux domaines suivants dans les prochaines versions de Chrome afin qu'une attaque similaire ne puisse plus se reproduire :

.fr 
.gp (Guadeloupe) 
.gf (Guyane) 
.mq (Martinique) 
.re (Réunion) 
.yt (Mayotte) 
.pm (Saint-Pierre et Miquelon) 
.bl (Saint Barthélemy) 
.mf (Saint Martin) 
.wf (Wallis et Futuna) 
.pf (Polynésie française) 
.nc (Nouvelle Calédonie) 
.tf (Terres australes et antarctiques françaises)]

source :  http://thehackernews.com/2013/12/fake-google-ssl-certificates-made-in.html

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Mickael Dorigny

Fondateur d'IT-Connect.fr et d'Information-security.fr. Auditeur sécurité chez Amossys.

    mickael has 478 posts and counting.See all posts by mickael

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

     

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.