Pour le moment, impossible de dire s’il s’agit d’un effet de bord de la révision annoncée des processus de l’ANSSI en matière de délégation sur la signature des certificats x509 de l’administration, suite à la tempête dans un verre d’eau qui avait affecté un certificat détecté comme frauduleux par Google et impactant un réseau privé de l’administration française.
Toujours est-il qu’aujourd’hui, s’il vous prenait l’envie de vous inscrire sur les listes électorales en utilisant le service en ligne de l’administration, il vous faudrait accorder votre confiance à l’aveugle, et prendre le risque de vous faire usurper votre identité à un niveau relativement critique. Mon-service-public.fr est justement l’un de ces sites sur lesquels les utilisateurs doivent avoir une confiance ne souffrant d’aucune faille. Il semble que Chrome, le navigateur de Google, dans sa version courante (Version 31.0.1650.63), ne fasse pas franchement confiance à l’AC DILA Infra qui a signé ce certificat x509. Pour rappel la DILA est la Direction de l’information légale et administrative, qui a une délégation de l’AC JO Racine, dépendant elle même de l’IGC/A.
Le certificat rejeté par Google Chrome porte le fingerprint SHA-1 : 92 4B A0 59 C5 73 FD 22 1D 18 71 7A D5 90 AF 2D C5 3A 94 8E
Par contre, du côté de Firefox (v26.0), tout semble passer comme une lettre à la poste…
Et Firefox accepte bien le même certificat sans broncher…
La faute ne semble pas incomber à la DILA, elle semble plutôt être la victime d’une mise à jour un peu radicale des certificats dans Google ou d’une refonte des processus à la hache de l’ANSSI (un peu moins probable), qui aurait scié la mauvaise branche.
Alors ne tirez pas de conclusions rapides, il y a certainement une explication rationnelle, ce n’est pas forcément la NSA ou une autre officine qui cherche à vous espionner, mais c’est tout de même un désagrément relativement malencontreux.
… Bref, la confiance, c’est compliqué, c’est un peu le truc où l’état n’a pas franchement le droit à l’erreur.
