Les équipes de Venafi donnent quelques avertissements sur la création de cette nouvelle Autorité de Certification Russe :

Kevin Bocek, Chief Security Strategist chez Venafi commente :
« Les cybercriminels russes de tous types connaissent depuis longtemps le pouvoir des identités machines pour ne pas être détecter. Dans le passé, les cybercriminels russes ont volé des identités machines pour créer des portes dérobées aux centrales électriques ukrainiennes avec des clés SSH, ou obtenir avec des certificats de signature de code volés des logiciels malveillants à exécuter - sans être détectés-. Maintenant, le gouvernement russe est passé à la vitesse supérieure en introduisant une autorité de certificat basée en Russie pour l’Internet. Les autorités de certificat émettent des identités machine comme les certificats TLS qui permettent à un navigateur et au cloud, de se faire confiance, où qu’ils soient dans le monde. Cette nouvelle autorité russe de certification est une entrave claire à la vie privée et la liberté en ligne parce qu’il donne au gouvernement russe le pouvoir de surveiller les citoyens et gérer tout service Internet occidental de Twitter à la BBC. Cela pourrait aussi permettre au gouvernement de désactiver Internet pour les Russes. La seule bonne nouvelle est que ce changement n’a pas d’impact sur les utilisateurs de Edge, Chrome, Safari dans le reste du monde – ce changement ne touche que les régions du monde où la Russie peut contraindre les utilisateurs à revenir dans un monde numérique. contrôlé. Cette histoire ne devrait surprendre personne. C’est une escalade du conflit contre un Internet ouvert et une extension du contrôle sur les citoyens. La Russie s’isole également de l’économie mondiale et réduit les espoirs de croissance économique pour les générations actuelles et futures de citoyens russes."

Setu Kulkarni, VP of Product chez Venafi : « Sur Internet, l’identité et la confiance sont interchangeables et lorsque le fournisseur d’identité n’est pas universellement accepté, cela n’augure rien de bon pour la fiabilité des applications qui exploitent ce fournisseur d’identité. Malheureusement, les citoyens qui utilisent ces applications peuvent ne pas avoir les connaissances nécessaires pour déterminer le fournisseur d’identité (l’AC) qui protège l’application. En revanche, quand ils le font, il est maintenant plus facile de distinguer entre les applications auxquelles on peut faire confiance et celles qui ne le peuvent pas. »

Pratik Selva, Security Engineer chez Venafi : « La création de la nouvelle AC russe pourrait également créer un possible point de défaillance unique qui catastrophique pour les entités russes. On peut supposer sans se tromper que cette nouvelle AC sera la cible principale d’Anonymous et d’autres groupes qui mènent actuellement des cyberattaques contre des entités russes. Contrairement au reste du monde, le gouvernement et le secteur privé russes sites et infrastructures n’ont pas de CA, pour que celui-ci tombe en panne ou soit compromis chaque site Web qui y est connecté sera déconnecté d’Internet jusqu’à ce qu’une nouvelle AC soit créée et que de nouveaux certificats puissent être délivrés. »