« Loin de moi l’idée de vouloir empoisonner l’atmosphère, mais, cher confrère, avez-vous remarqué combien votre système de certification était faisandé ? » dit en substance le communiqué public émis par Comodo à l’attention des ingénieurs de Verisign. Une vulnérabilité (dont les détails techniques n’ont pas été divulgués) mettrait en danger les usagers des certificats SSL Web de Verisign, et notamment les clients d’un « important organisme financier » (Bank of America) dont l’accès aux comptes pourrait se faire sans la moindre vérification d’authenticité. Le reste du communiqué est à l’avenant : « When we uncovered this serious security vulnerability, we knew we had to do the right thing to notify VeriSign immediately to correct the design problem … ». Charitable pensée de la part de Comodo qui, soyons en sûr, ne se transformera pas en dragon vengeur si d’aventure un chercheur en sécurité parvenait à découvrir une paille dans un de leurs services. Si le « full disclosure » est concurrencé par les communiqués de presse des concurrents, qui donc va-t-on poursuivre sous prétexte de « divulgation irresponsable » ?
1 commentaire