« C’est entièrement notre faute » explique les responsables de Kali dans un blog. Le problème est la perte d’une clé de signature de la distribution Linux dans un incident qui s’est déroulé à la mi-avril. Kali a dû geler le dépôt. C'est la raison pour laquelle personne n'a encore été affecté. Cependant, cette semaine, le référentiel sera disponible, et ceux qui n'ont pas récupéré la nouvelle clé de signature ne pourront pas faire de mises à jour automatiques.

Les administrateurs doivent télécharger et installer la nouvelle clé manuellement, puis vérifier que la somme de contrôle du fichier correspond à celle créée par Kali. Si certains administrateurs préfèrent reconstruire leur système Kali à partir de zéro, Kali a mis à jour toutes ses images avec la récente clé. L’éditeur a précisé que l'ancienne clé n'avait pas été compromise. À noter que le fournisseur n’a pas répondu à une demande de commentaire envoyée avant la mise en ligne de cet article. Comme l’a rappelé Robert Beggs, responsable du fournisseur canadien de tests de pénétration et de réponse aux incidents DigitalDefence, ce n'est pas la première fois que Kali a un problème de clé de signature. En 2018, le fournisseur avait laissé passer la date d’expiration d’une clé. « C'est un petit problème facile à surmonter », a déclaré M. Beggs dans une interview, qui se résout en tapant une simple ligne de code, comme l’indique le blog de Kali.

Une absence de gestion centralisée pointée du doigt

La perte des clés de signature est « très rare » chez les éditeurs d'applications parce que cette responsabilité se situe typiquement au niveau de l'entreprise », a fait remarquer M. Beggs. « Le fait que cela se soit produit deux fois chez Kali suggère qu'il n'y a tout simplement pas de gestion centralisée. La perte de la clé ne disqualifie pas le produit, ni l'excellent travail réalisé. Elle indique simplement un défaut de gestion centralisée », a-t-il ajouté. « Les seules personnes qui seront gênées sont les administrateurs qui ne comprendront pas le message d'erreur qu'ils recevront en essayant de mettre à jour la distribution, et qui ne savent pas que la clé n'est plus à jour ». Ce dernier pense néanmoins que la plupart des administrateurs Kali sont déjà au courant du problème et savent comment le résoudre. « La leçon à tirer pour les RSSI dont les entreprises ont des clefs ou des licences logicielles à renouveler, est de considérer cette tâche au même titre que la maintenance des objets », a conseillé M. Beggs.

Celui-ci recommande également de se préoccuper de la continuité. Selon lui, le problème le plus courant n'est pas celui d’une personne qui oublie de renouveler sa licence, mais d’une personne connaissant la clé ou la licence qui est partie ou a changé de poste. « Souvent, les entreprises ne parviennent pas à assurer la continuité. Il faut arrêter de penser que cette responsabilité incombe à une seule personne. C'est une responsabilité d'entreprise », a-t-il insisté. « Il faut s’assurer de la continuité de la gestion des objets, de sorte que si une personne change de poste, a un accident ou qu’elle oublie, des contrôles d'entreprise peuvent garantir une continuité dans le processus de gestion ».