Archive | décembre 10th, 2013

ANSSI, Google et les hommes du milieu au milieu

Bon ok, j’ai vraiment eu du mal à prendre le train en marche, passionné que j’étais par l’élection de miss France.

Tout à commencé par le message de l’ANSSI annonçant la suppression de l’une des branches de son IGC, puis j’ai aperçu le communiqué de Google et le flot de commentaires plus ou moins éclairés sur ma TL avant de terminer par les articles des « Gala » de l’informatique (JdN, 01, ZDNet, …) ou pire, la presse nationale (Le Monde).

Heureusement, Olivier Laurelli nous a pondu une bonne synthèse sur reflets.info qui m’a permis de me remettre à niveau.

Du coup ce matin, de très bonne heure, j’ai attrapé mes crayons de couleurs pour essayer de griffonner ce que j’avais cru comprendre du bazar. Cela donne la synthèse suivante, qui confirme très bien les doutes émis par mes profs de dessin du collège sur mes talents de graphistes 😉

ANSSInTheMiddle_medium

ANSSInTheMiddle caught by Google

 J’ai aussi tenté de trouver un nom rigolo à l’image ainsi créée, mais une fois encore j’ai pu évaluer le chemin à parcourir pour rattraper Laurent Baffie ou comment s’appelle-t-il déjà celui qui essaie toujours de se faire passer pour plus beauf qu’il n’est réellement pour que son public se sente à l’aise à ses côtés ? Ah oui, Bigard (celui qui à un « e » près ne laissera pas de trace dans l’histoire).

Donc, traduction du gribouillis et explications de la situation:

Tout le monde sait aujourd’hui à Bercy comme au ministère des Finances ou chez ma mère que la messagerie c’est le diable.

C’est en effet par la messagerie que toutes les tares des SI se propagent et par ces mêmes tuyaux que tout fuite … d’autant plus si les systèmes utilisés s’appellent GMail ou Yahoo.

Pour tenter d’ y remédier, quelqu’un de de  la Direction Générale du Trésor à la bonne idée d’écouter les échanges entre ses utilisateurs et Google (en ayant apparemment pris soin de prévenir lesdits utilisateurs). Bref, jusque là un grand classique. Pour cela,  il insère donc un équipement de sécurité interne (boitier Netasq) sur le réseau dans lequel il place un certificat émis par l’une des branches de l’autorité de certification de l’ANSSI. Pour la très grande majorité des utilisateurs qui croient communiquer directement avec Google, c’est complètement transparent. L’espion/indiscret/contrôleur réalise un MITM classique.

Un quoi ?

Un « Man In The Middle » les amis … difficilement traduisible en France où on continue de s’arracher les cheveux entre l’Homme du milieu (typé pègre, Cosa Nostra, marseillais, politique …) ou l’Homme au milieu (plus orienté Marc Dorcel).

La page Wikipedia en français sur le sujet est d’ailleurs remarquablement légère …

Placé entre l’utilisateur et Goggle, il se fait passer pour l’un ou l’autre aux yeux de ces derniers pouvant ainsi observer leurs échanges.

Jusqu’au moment où Google dénonce l’imposture 😉 Alors là…, Google jouant les vierges effarouchées, ça vaut le meilleur de Jean Roucas !

Dès que la nouvelle apparaît sur la toile, quelques grand défenseurs des libertés individuelles peu inspirés (merci pour nous, il y en a qui font un réel bon boulot) crient au scandale : « L’ANSSI se lance dans le surveillance style NSA/Prism » et autres délires paranoïaques. Bahhh non les gars, le besoin n’est pas là, c’est quand on aura découvert que Orange fait la même chose qu’il faudra crier 😉

Jean-Pierre Pernaut n’ayant pas été alerté, le soufflet semble retomber… mais peu se posent aujourd’hui la bonne question : comprendre comment Google a été informé de tels agissements et pourquoi a-t-il dénoncé aussi rapidement publiquement le stratagème qui devait forcément gêner son business.

Des pistes de réponse à la première question :

– l’utilisation de Chrome qui enverrait (parfois à l’insu de notre plein gré) à Google des informations relatives aux certificats utilisés (et peut-être d’autres),

– des contrôles OSCP depuis le poste client pour vérifier en  ligne la non répudiation d’un certificat,

– l’information par des utilisateurs de la DGT,

– des plugins variés navigateurs remontant de l’info à Google…

Bref, pour l’instant on ne sait pas ! On confirme tout juste que Google en sait, pour sa part, vraiment beaucoup sur nos moindre faits et gestes… y compris les pseudo-boulettes avouées par l’ANSSI.

 

 

 

 

Posted in PKI, ICP, IGC0 commentaire