Journal d'investigation en ligne et d'information‑hacking
par bluetouff

#MITM de #Google par l' #ANSSI : la théorie du doigt qui pointait la Lune

Ce week-end, sur son blog dédié à la sécurité, Google a publié une note qui n'a pas manqué d'attirer l'attention de toute la communauté de la sécurité informatique hexagonale. Dans son billet, Google explique qu'un faux certificat x509 a été signé par l'administration française, dépendante de l'ANSSI (l'autorité de certification O=IGC/A).

Ce week-end, sur son blog dédié à la sécurité, Google a publié une note qui n'a pas manqué d'attirer l'attention de toute la communauté de la sécurité informatique hexagonale. Dans son billet, Google explique qu'un faux certificat x509 a été signé par l'administration française, dépendante de l'ANSSI(l'autorité de certification O=IGC/A). Le raccourcis a été vite fait par certains : "l'ANSSI aurait lancé une attaque par MITM contre les services Google" (NDLR : dans le but d'intercepter des données...). Google affirme avoir découvert ce qu'il considère plus ou moins explicitement comme une attaque sur ses services et avoir bloqué ce certificat en le révoquant dans une mise à jour de son navigateur Chrome.

"This incident represents a serious breach and demonstrates why Certificate Transparency, which we developed in 2011 and have been advocating for since, is so critical."

Alors on respire un grand coup...

Loin d'alimenter la polémique sur l'ANSSI, nous allons porter un autre regard, car l'examen des faits prouve qu'on est quand même assez loin d'Aurora. Le communiqué laconique de l'ANSSI n'a pas franchement suffit à calmer les esprits, les gens de l'ANSSI ne sont pas des personnes de discours, on ne les blâmera certainement pas pour ça. Mais avant de crier au loup, il faut commencer par s'interroger sur les prérogatives de l'ANSSI. L'ANSSI, c'est les "gentils", pas les barbouzes. L'agence a pour mission de préserver les intérêts français sur le terrain de la sécurité informatique. Si la Loi de Programmation Militaire 2013 prévoit une extension de ses pouvoirs, outre le fait que c'est un peu tôt pour qu'elle se mette à l'interception administrative de grande envergure, l'ANSSI reste aujourd'hui concentrée sur la défense des systèmes d’information : sécurisation des réseaux des administrations et des organismes d'importance vitale de la Nation (administrations ou sociétés privées)... et non sur l'interception massive des communications des citoyens français, ni même dans l'espionnage des sociétés américaines... ça c'est plutôt le genre de choses que ferait la DGSE si ceci était jugé nécessaire. L'ANSSI n'a, à notre connaissance, aucune prérogative liée à l'intelligence économique extérieure qui justifierait une attaque par Man In The Middle sur SSL/TLS explicitement dirigée contre Google ou toute autre société.

Le doigt que tout le monde regarde

Le certificat en question aurait, selon l'ANSSI, été généré pour inspecter le trafic, sur le r éseau privé de la DG Trésor rattachée à Bercy, en toute connaissance des utilisateurs de ce réseau, peu de chances donc que Bercy n'ait pas été informé ou que le ministère ait laissé jouer la DG Trésor avec les certificats x509 du MINEFI toute seule. Toute déclaration contraire de Bercy serait assez surprenante.

Ce dispositif, déployé sur un réseau privé sensible, vise à prévenir des fuites d'informations, des fuites qui ont déjà eu lieu, par deux fois, ces 4 dernières années et dans des proportions jugées très inquiétantes.

Bercy utilise des appliances NetAsq (obligation légale, NetAsq étant une société française), et c'est probablement le matériel auquel l'ANSSI fait allusion quand elle déclare à Google

 « the intermediate CA certificate was used in a commercial device"

Ces appliances servent, entre autres, à sécuriser les communications entre Bercy et les différents services économiques à l'étranger qui lui sont rattachés.

La réalité est donc tout de suite moins fantasmagorique, peut-être un peu plus drôle aussi. Cette histoire sent à plein nez la boulette humaine qui révèle surtout quelque chose de très inquiétant de la part de notre big brother américain préféré... Google.

Les administrateurs de la DG Trésor (localisé à Bruxelles, dans les bureaux d'Ubifrance) voulaient faire du Man In The Middle sur ces boitiers NetAsq pour décoder les flux HTTPS et filtrer les sites indésirables tels que Gmail et d'autres car non contrôlés, parmi lesquels Yahoo ou encore Hotmail. Le but était fort probablement de bloquer les webmails pour éviter que des malwares infiltrent le réseau de Bercy comme cela a pu arriver plusieurs fois par le passé et également permettre à l'antivirus intégré du NetAsq de vérifier les flux autorisés. Ce dispositif trouve donc une légitimité et on croit volontiers l'ANSSI quand elle répond à Google que ceci n'a pas été fait dans le dos des utilisateurs de ce réseau privé.

En pleine loi de programmation militaire qui vient réformer les interceptions administratives, l'affaire a naturellement fait couler pas mal de pixels. Evidemment, comme c'est souvent le cas, on a tout de suite tendance à regarder le doigt qui pointe la lune. Et la lune, sur ce coup, ce n'est pas l'ANSSI, ce n'est pas la DG Trésor ou Bercy, mais bien Google.

On peut tout à fait légitimement se poser des questions sur l'influence croissante de  l'ANSSI sur les ministères : question à double tranchant car il est indéniable que l'ANSSI apporte beaucoup en matière de sécurité, un rôle qui lui sied parfaitement si toutefois elle s'y cantonne... L'insistance de l'ANSSI à pousser l'article 13 de la Loi de Programmation Militaire est lui plus inquiétant, on peut redouter des dérapages. Mais sur cette affaire, il n'y a pas de dérapage à proprement parler, juste une "boulette" bien humaine, et elle n'émane pas de l'ANSSI, mais de la DG Trésor et de Bercy qui était parfaitement au courant.

Mais comme nous vous l'expliquions, cette "boulette" a le mérite de mettre en lumière quelque chose de beaucoup... beaucoup plus inquiétant.

La Lune... que personne ne regarde

La véritable question à se poser, c'est bien comment Google a t-il pu se rendre compte de cet incident. Le navigateur des utilisateurs remonte t-il des informations sur les certificats qu'il rencontre à Google sans que ces derniers n'en sachent rien ? La question mérite d'être posée car ce n'est certainement pas avec les explications du billet de Google que l'on peut avoir un début de réponse sur la question.

Mais il y a encore bien plus préoccupant : comme nous l'expliquions plus haut, le réseau de la DG Tresor est sous haute surveillance.  En aucun cas, Chrome, le navigateur de Google n'y est utilisé... en AUCUN CAS. Il n'y a pas de possibilité de l'utiliser, un dispositif y veille. Ce seul élément devrait éveiller l'attention de l'ANSSI et n'aura probablement pas manqué de le faire. Impossible donc pour Google d'arguer que cette détection a été rendue possible par son implémentation du Public Key Pinning dans Chrome (à partir de la version 13). La réponse est donc fort probablement ailleurs.

Toujours est-il que nous n'en saurons surement pas beaucoup plus. L'ANSSI dit plancher sur de nouvelles procédures pour que l'incident ne se reproduise pas. Elle ira probablement tirer quelques oreilles à Bercy aka "onsavépa", et surtout à la DG Trésor où on a visiblement pris quelques libertés avec les procédures.

Une autre partie de ses investigations devraient se porter sur Google, qui en sait décidément un peu trop sur les dessous de la princesse.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée