Tony Hadfield, père Directeur de Solutions Architects chez Venafi : "C’est un excellent exemple de ce qui arrive lorsque les organisations signent du code sans un plan pour gérer les clés de signature de code. S’ils tombent entre les mains d’un attaquant, cela peut mener à des violations catastrophiques. La seule façon d’éviter ce genre de problème est d’avoir une solution vérifiable, « qui/quoi/où » : comment contrôlez-vous les clés de signature, où sont-elles stockées, qui y a accès et quel type de code est signé ? Vous avez besoin de ces renseignements pour protéger vos clés et intervenir rapidement en cas d’atteinte en faisant tourner vos clés publiques et privées. »

Ivan Wallis, Global Architect chez Venafi : « C’est un excellent exemple qui montre l’absence de contrôles de sécurité appropriés sur les certificats de signature de code, en particulier les clés de signature pour la plateforme Android. Ces fuites de certificat sont exactement liées à cela, où ces certificats de fournisseur ont fait dans la nature, permettant la possibilité d’une mauvaise utilisation et la possibilité de signer des applications Android malveillantes déguisées en certains « fournisseurs », similaire à Solarwinds. Les acteurs malveillants peuvent essentiellement obtenir les mêmes autorisations que le service principal. L’absence de « qui/quoi/où/quand » autour de la signature de code rend difficile de connaître l’impact d’une brèche, car cette clé privée pourrait se trouver n’importe où. À ce stade, il doit être considéré comme un compromis complet de l’environnement de signature de code et la rotation des clés/certificats doit avoir lieu immédiatement. »