Une potentielle importante faille de sécurité pour les internautes a été évitée. Google a annoncé samedi avoir bloqué plusieurs certificats de sécurité émis par une autorité de certification liée à l’Agence nationale de la sécurité des systèmes d’information française (Anssi, l’organisme chargé de la sécurité informatique de l’Etat français), après avoir découvert que ces certificats étaient possiblement corrompus.

Les certificats de sécurité sont utilisés par les navigateurs Internet pour vérifier qu’un site sécurisé (dont l’adresse commence par « https » : messageries, banques, e-commerce…) est bien ce qu’il prétend être : le système permet théoriquement d’empêcher la création de faux sites ressemblant trait pour trait à un site légitime, mais contrôlés par un tiers qui peut ainsi espionner à loisir les communications et enregistrer mots de passe ou numéros de carte bleue.

Les certificats de sécurité ne peuvent être émis que par une liste fermée d’institutions et de sociétés, considérées comme sûres.
Mais lorsque l’une de ces autorités de certification commet une erreur ou est victime d’un piratage, le système s’effondre : il est alors possible de créer de faux certificats de sécurité qui permettent de piéger les internautes. Google affirme avoir découvert le 3 décembre qu’une autorité liée à l’Anssi avait émis un certificat de sécurité frauduleux pour plusieurs sites détenus par Google. Ce qui peut permettre à une personne contrôlant ces certificats d’espionner les communications d’internautes croyant utiliser un site de Google, mais en réalité contrôlé par un tiers. 

L’Anssi a reconnu dans un communiqué qu’une « erreur humaine » avait conduit à l’émission de certificats de sécurité ne respectant pas les procédures. « Cette erreur n’a eu aucune conséquence sur la sécurité des réseaux de l’administration ni sur les internautes », affirme l’administration. Mais Google, qui (…) Lire la suite sur lemonde.fr

Edward Snowden va témoigner devant le Parlement européen
Inscrivez-vous aux newsletters du Monde.fr