"Nous avons vu les mises à jour arriver du serveur Live Update ASUS. Il s'agissait de mises à jour trojanisées ou malveillantes, signées par ASUS", explique Liam O'Murchu, directeur du développement pour le groupe Security Technology and Response de Symantec.
En supposant qu'ASUS ait correctement mis en œuvre sa validation de signature, il semble probable que des pirates aient volé les clés de signature d'ASUS pour y parvenir. Cela dénote un manque d'automatisation dans la protection des certificats de signature de code.
Au cours des dernières années, nous avons assisté à une sensibilisation croissante à la signature de code et à une augmentation de la signature et de la validation de code, ce qui est une excellente chose. Cependant, si vous perdez le contrôle des clés privées, tout le système s'effondre. Aujourd'hui, très peu d'organisations protègent correctement les certificats de signature de code: ils se trouvent sur les postes de travail des développeurs, les serveurs de construction, etc.
