Re: [FRnOG] [ALERT] IGC/A et google

Sun, 08 Dec 2013 10:12:56 -0800 

Bonjour,
Je comprends pas bien pourquoi ils se sont fait prendre : pour intercepter les flux ssl l'employeur annonce à tout le personnel ce qu'il va faire, qu'on est pas à la maison mais au boulot, que le pare-feu va inspecter les messages et donc les certificats seront ceux du boulot (comme on accepte déjà le certificat de la messagerie), pour se faire passer pour google ou autre il faut avoir envie de faire ça en douce, à l'insu des utilisateurs, est-ce concevable ? 

Marc, (dans l'administration mais pas aux finances)

----- Original Message ----- 
From: "Kavé Salamatian" <kave.salamat...@univ-savoie.fr>

To: "Raphaël Stehli" <experti...@raphael.stehli.fr>
Cc: <frnog-al...@frnog.org>
Sent: Sunday, December 08, 2013 4:38 PM
Subject: Re: [FRnOG] [ALERT] IGC/A et google



A priori il y’a des outils qui sont vendus afin d’intercepter des connexions 
SSL sortantes et de vérifier leur contenu. Une administration liée au 
ministère des finances à voulu « tester » cette solution sur du trafic 
gmail. Pour ceci il faut forger un certificat de google (tout comme n’importe 
quel vulgaire voleur d’identité par phishing ou comme des gouvernement 
dictatoriaux voulant volant les logins de leurs nationaux à des services 
sécurisé).  Le certificat a été forgé par une sous-autorité de certification 
rattaché à l’ANSSI et Ils se sont fait prendre la main dans le pot de 
confiture. Montrant l’amateurisme en vigueur …..


Kavé Salamatian

Le 8 déc. 2013 à 16:31, Raphaël Stehli <experti...@raphael.stehli.fr> a 
écrit :



Bonjour la liste,

Après plusieurs mois de lecture, il s'agit de ma première intervention.

- Le Monde vient de publier un article "Google bloque des certificats de
sécurité Internet émis par une autorité française"
http://abonnes.lemonde.fr/technologies/article/2013/12/08/google-bloque-des-certificats-de-securite-internet-emis-par-une-autorite-francaise_3527535_651865.html


- l'ANSSI a publié un communiqué de presse "Suppression d’une branche de
l’IGC/A"
http://www.ssi.gouv.fr/fr/menu/actualites/suppression-d-une-branche-de-l-igc-a.html
où il est fait mention que "Suite à une erreur humaine lors d’une action
de renforcement de la sécurité au ministère des finances, des
certificats numériques correspondant à des domaines extérieurs à
l’administration française ont été signés par une autorité de
certification de la direction générale du Trésor rattachée à l’IGC/A."

- Google indique dans un communiqué
http://googleonlinesecurity.blogspot.it/2013/12/further-improving-digital-certificate.html?m=1
que le problème est sérieux.

Quelqu'un aurait-il des informations sur ce qui s'est passé ?

Bien cordialement,

Raphaël Stehli

--
Raphaël Stehli,
Fonctionnaire détaché en cycle préparatoire de l'ENA,
Chargé d'enseignement vacataire à l'Université de Strasbourg,


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/



---------------------------
Liste de diffusion du FRnOG

http://www.frnog.org/ 



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/






















					Répondre à