l'explication du test dans le réseau privé qui a mal tourné est tout a fait plausible. Avec les remontées qui sont faites par Chrome, ca ne pouvaient pas passer innapercus.
Effectivement.
A en lire les différents liens cités plus haut, l'ANSSI aurait voulu tester / auditer un outil de "proxy SSL", basé sur l'inspection du contenu chiffré (déchiffrement + chiffrement à la volée), comme le font certains proxy d'entreprise. Sauf qu'au lieu d'utiliser une autorité de certification locale, pour signer le certificat utilisé dans le produit (ou de l'auto-signer), ils ont utilisé leur autorité de certification publique ANSSI.
Le produit en test venait donc à se faire passer pour un (faux) site Google, authentique du point de vue du navigateur Internet.
Quand Google Chrome voit qu'un site *.google.* est signé par une autre autorité de confiance que celles habituelles pour les sites Google (Verisign, Google Internet Authority, Equifax et GeoTrust), il refuse le site, et il irait (à confirmer) cafter à la maison mère . cf.
Public Key PinningVoici comment comment la "bourde" aurait fuité.
(merci de corriger mes éventuelles imprécisions dans le domaine des certificats
)
Protocoles réseaux sécurisés (https)