La nouvelle a été « officiellement » confirmée par le biais d’un groupe de discussion Yahoo : deux autres comptes d’autorité d’enregistrement (RA) auraient été compromis, affirme Robin Alden le CTO de Comodo. Information relayée par Netcraft ou IDGNS entre autres. Jusqu’à présent, seul le revendeur Italien (GlobalTrust.it / InstantSSL.it) semblait à l’origine de la « fuite de certificats » frappant Comodo.
Une fois de plus, l’information parvient au public via des moyens relativement fantaisistes et non officiels (une liste de discussion) sans confirmation de la part de la Direction de la Communication du groupe. Du moins pas à l’heure où nous rédigeons ces lignes. L’identité des deux autorités d’enregistrement est gardée secrète, les éventuelles compromissions desdites autorités sont également laissées dans un brouillard à couper au couteau. Malgré l’affirmation du CTO affirmant que « No further mis-issued certificates have resulted from those compromises », on ne peut, devant l’opacité des méthodes de communication de l’entreprise, que douter du sérieux de ces assertions. En attendant, la direction clame à qui veut l’entendre qu’elle est en train de réorganiser les flux de certification, notamment en limitant les pouvoirs des RA (qui, jusqu’à présent, pouvaient directement émettre des certificats issus de l’autorité racine, sans passer par l’intermédiaire de la maison mère) et en déployant des mécanismes d’authentification à deux facteurs destinés à limiter les risques en cas de nouvelle compromission de ce type (Authentification à deux facteurs : expr. Tech : système d’authentification réputé inviolable. Voir article RSA)
