introduction à la signature de...
TRANSCRIPT
Introduction à
LA SIGNATURE DE
CODE
Qu’est-ce qu’une signature
de code ?
Les certificats de signature
de code 101
Pourquoi et quand signer du code
Certificats auto-signés ou
signature de confiance publique
Considérations avant l’achat d’
une signature de code
SOMMAIRE.
…………03
.....…….....05
.….09
..…...12
.……...15
1
2
3
4
5
Chapitre 1.
Qu’est-ce qu’une
signature de code ?
Une signature de code est l'équivalent virtuel de l'emballage
plastique d'un programme vendu en magasin.
QU'EST-CE QU'UNE SIGNATURE DE CODE ?
Lorsqu'une personne achète un programme en magasin, il est emballé. Il est
donc possible de clairement déterminer l'éditeur du programme et confirmer
que celui-ci n'a pas été ouvert ou modifié. Le client peut alors facilement
décider de faire confiance au programme ou non. Les individus qui téléchargent
des programmes sur Internet doivent avoir le même type de garantie. Une
signature de code apporte cette garantie en jouant le même rôle qu'un
emballage plastique pour les programmes distribués sur le Web.
Une signature de code est une signature numérique qui s'applique à un
programme ou une application transmis sur Internet. Ce procédé assure la
même sécurité que l'emballage d'un programme acheté en magasin : une fois
signé, le code inclut le nom de l'éditeur et il est protégé des attaques de
malware ou de tout autre tentative de corruption.
Une signature de code permet de prouver qu'un programme signé :
•est légitime
•provient d'un distributeur de programme connu
•n'a pas été modifié depuis sa publication
Une signature de code permet :
•d'éviter que les utilisateurs abandonnent l'installation d'une application
•de protéger un code légitime contre les modifications malveillantes et le
vol d'identité du distributeur ou de l'auteur
Partagez cet E-Guide !
4 INTRODUCTION A LA SIGNATURE DE CODE
Chapitre 2.
Les certificats de
signature de code 101
Un certificat de signature de code est un certificat numérique qui contient
certaines informations permettant d'identifier une personne ou une
organisation, et qui a été émis par une Autorité de Certification, telle que
GlobalSign.
Un certificat de signature de code permet aux développeurs d'inclure dans leurs
applications ou leurs programmes des informations sur leur code et sur eux-
mêmes. Pour créer une signature numérique (signer du code), les développeurs
utilisent un certificat numérique.
Un certificat numérique lie une organisation à une clé publique, elle-même
reliée à une paire de clés privées correspondante. La clé privée est utilisée pour
appliquer la signature numérique à une version courte du code exécuté à
travers un algorithme de hachage. La clé publique est utilisée pour vérifier la
signature. Signer le hash d'un code permet de vérifier si ce dernier a été
modifié depuis qu'il a été signé. Changer ne serait-ce qu'un seul caractère dans
une ligne de code modifie le hash, ce qui apparaît alors suspicieux.
QU'EST-CE QU'UN CERTIFICAT DE SIGNATURE
DE CODE ?
Définition :
6 INTRODUCTION A LA SIGNATURE DE CODE
Partagez cet E-Guide !
Les certificats de signature de code en action
Application signée avec un certificat de signature de code
Application NON signée avec un certificat de signature de code
Les applications contenant une
signature numérique affichent le
nom de leur éditeur sur l'écran
d'installation, ce qui confirme
qu'elles sont vérifiables et
proviennent d'une source de
confiance.
Les applications non signées
affichent des avertissements de
sécurité sur l'écran des
utilisateurs qui les préviennent
que l'éditeur de l'application est
inconnu et les incitent à
n'installer que des applications
provenant de sources de
confiance.
7 INTRODUCTION A LA SIGNATURE DE CODE
Partagez cet E-Guide !
L'intégrité du contenu
Une signature de code assure qu'un contenu n'a pas été modifié et détermine s'il est
fiable pour un objectif spécifique. Si une application ou un programme ont été modifiés
après avoir été signés, la signature n'est plus valide ni fiable.
Un code signé bénéficie autant aux utilisateurs qui téléchargent une application qu'aux
développeurs. Les utilisateurs ont la garantie que le programme qu'ils téléchargent
provient d'une source fiable et peuvent alors décider de lui faire confiance ou non. Les
développeurs peuvent exposer leur marque et protéger leurs programmes des
modifications non autorisées.
Ce qu'une signature de code prouve
Une signature de code vérifie qu'un programme ou une application provient d'une source
spécifique (un développeur ou signataire). Lorsqu'un programme est téléchargé sur
Internet, les navigateurs affichent un message d'alerte indiquant les dangers potentiels
du téléchargement de données, ou indiquent que l'éditeur du programme est inconnu.
Une signature de code élimine ces avertissements en affichant le nom de l'éditeur (le
nom de l'organisation).
La source du contenu
8 INTRODUCTION A LA SIGNATURE DE CODE
Partagez cet E-Guide !
Chapitre 3.
Pourquoi et quand
signer du code
POURQUOI ET QUAND SIGNER DU CODE ?
Exécuter du code non signé peut être dangereux !
Contrairement aux programmes achetés en magasin, il n'existe aucun emballage de
protection pour les programmes disponibles sur le Web, aucune personne physique
n'assure la transaction, et il n'y a aucun moyen évident de déterminer la source du
programme.
Un programme non signé est vulnérable aux modifications non autorisées, telles que
l'insertion de spyware (logiciel espion) ou de malware. Il est donc conseillé aux utilisateurs
de ne pas exécuter du code non signé. Pour cette raison, télécharger ou exécuter des
applications non signées déclenchent des avertissements de sécurité indiquant que
l'identité de l'éditeur est inconnue.
En distribuant leurs programmes sur Internet, les développeurs peuvent délivrer des
applications Internet riches directement sur le bureau de leurs clients, créant ainsi avec
eux une relation plus forte. Cela stimule la productivité et la fonctionnalité des applications
web et permet aux serveurs web d'élargir leur portée et d’améliorer l'expérience clients.
10 INTRODUCTION A LA SIGNATURE DE CODE
Partagez cet E-Guide !
Les fournisseurs de plates-formes encouragent
l'utilisation de certificats de signature de codeDe nombreuses plates-formes reconnaissent la signature de code, vous permettant ainsi de signer
différents types de code à l'aide d'un seul certificat.
Microsoft AuthenticodeSignez les fichiers .exe, .cab, .dll, .ocx, .msi, xpi, .xap, les contrôles ActiveX et les
programmes du noyau.
Adobe AirSignez les fichiers .air et .airi.
AppleSignez les programmes, applications, plug-ins et contenus pour les
environnements Mac OS.
Mozilla & NetscapeSignez les modules Mozilla XPI pour Firefox et les fichiers pour les objets
Netscape.
Macros Microsoft Office et applications VBASignez les objets, les scripts et les macros VBA de Microsoft Office.
JavaSignez les fichiers .jar et les applications Java.
11 INTRODUCTION A LA SIGNATURE DE CODE
Partagez cet E-Guide !
Chapitre 4.
Certificats auto-signés ou
signature de confiance
publique
Il existe deux sortes de certificats de signature de code pouvant être utilisés pour
signer des applications :
•les certificats de signature de code auto-signés
•les certificats de signature de code de racine publique
Les certificats de signature de code auto-signés
Les certificats auto-signés sont des certificats non fiables qui ne garantissent pas
l'authenticité de l'éditeur.
Considérations à prendre en compte avant d'utiliser un certificat auto-signé :
•les destinataires du code ne peuvent pas savoir si l'identité de l'éditeur est
authentique
•les signatures affichent un avertissement de sécurité indiquant que l'éditeur n'a pas
été vérifié et le message « Éditeur inconnu » apparaît à l'écran
•les certificats auto-signés ne peuvent pas être révoqués. Si le certificat est
compromis, il présente un danger pour les utilisateurs de votre programme
Les certificats de signature de code auto-signés sont parfaits pour signer du code test.
CERTIFICATS AUTO-SIGNES OU SIGNATURE
DE CONFIANCE PUBLIQUE ?
.
13 INTRODUCTION A LA SIGNATURE DE CODE
Partagez cet E-Guide !
Les certificats de signature de code de confiance publique
Les certificats de signature de code de confiance publique sont des certificats
émis par des Autorités de Certification (AC) de confiance publique.
Les certificats de signature de code de confiance publique, tels que ceux de
GlobalSign, fournissent, non seulement, un mécanisme permettant de garantir
l'intégrité du contenu d'un programme, mais également une méthode qui vérifie
immédiatement l'origine de celui-ci. En tant qu'Autorité de Certification reconnue,
GlobalSign vérifie l'identité de l'éditeur et la légitimité de son organisation.
Les avantages d'un certificat de signature de code de racine publique :
Signer votre code avec un certificat de signature de code émis par une AC de
confiance publique offre de nombreux avantages :
•le nom de l'éditeur est affiché lorsqu'un utilisateur télécharge une application
signée
•les certificats peuvent êtres révoqués à tout moment s'ils sont compromis
•le code comprend une signature numérique et un sceau d'horodatage
Horodatage
Il est important de comprendre les avantages de l'horodatage car ce procédé
renforce la confiance instaurée par le code. Lorsqu'une signature numérique est
utilisée, la date et l'heure d'utilisation sont enregistrées. La fonction d'horodatage
assure que le code signé reste valide, même si le certificat utilisé expire. Sauf si
du code supplémentaire est ajouté à une application déjà signée, il n'est pas
nécessaire d'appliquer une nouvelle signature, même si le certificat numérique
utilisé pour signer le code en premier lieu expire.
CERTIFICATS AUTO-SIGNES OU SIGNATURE
DE CONFIANCE PUBLIQUE ?
14 INTRODUCTION A LA SIGNATURE DE CODE
Partagez cet E-Guide !
Chapitre 5.
Considérations avant
l‘achat d’une
signature de code
Si vous décidez d'acheter un certificat de signature de code auprès d'une
Autorité de Certification de confiance publique, plusieurs choix s'offrent à vous.
Lorsque vous choisissez votre fournisseur de signature de code, veuillez
prendre en compte les éléments suivants :
Ubiquité
Pour que les destinataires de votre application puissent faire confiance au
certificat utilisé pour signer le code, l'Autorité de Certification choisie doit avoir
un programme global d'intégration de sa racine garantissant que ses certificats
fonctionnent avec toutes les applications.
Service d'horodatage
Assurez-vous que votre signature reste toujours valide, même après l'expiration
de votre certificat numérique, en choisissant une Autorité de Certification qui
propose un service d'horodatage gratuit.
Prix et valeur
Pour le prix proposé, obtenez-vous un bon rapport qualité-prix considérant
l'expérience, l'assistance et les fonctionnalités offertes ?
Assistance technique
L'activité principale de votre fournisseur inclut-elle les certificats numériques ?
Limites du nombre de signatures
Le nombre de signatures possibles à l'aide d'un seul certificat numérique est-il
limité ?
Confiance
Quels types de société d'audit indépendante, telles que WebTrust, vérifient que
l'Autorité de Certification est conforme avec sa déclaration de pratiques de
certification ?
Utilisation
Est-il facile d'installer et d'utiliser le certificat ?
Considérations à prendre en compte avant
d'acheter un certificat de signature de code
16 INTRODUCTION A LA SIGNATURE DE CODE
Partagez cet E-Guide !
Instaurer la confiance des utilisa-
teurs et leur prouver que le code
provient d'un développeur de
confianceLes certificats de signature de code de GlobalSign sont multi-usage, ce qui signifie qu'un seul
certificat peut être utilisé pour signer plusieurs plates-formes différentes. Un même certificat
peut signer numériquement :
• les fichiers Microsoft Authenticode (32 et 64 bits), y compris les programmes du noyau
• les applications Adobe Air
• les applications Apple
• les applications Java
• les macros Microsoft et Visual Basic
• les modules XPI Mozilla pour Firefox
Autres caractéristiques uniques des certificats de signature de code de GlobalSign :
• ils peuvent signer un nombre illimité d'applications
• un service d’horodatage est inclus pour empêcher les signatures numériques d'expirer
• un outil de signature de code simplifiant le processus de signature est offert gratuitement
INTRODUCTION A LA SIGNATURE DE CODE
“La différence entre les certificats de GlobalSign et ceux des autres fournisseurs est que nous pouvons signer à la fois le code de l'espace utilisateur et celui du noyau, et ce, avec le même certificat.L'outil de signature de code facilite le processus, et chaque fois que nous avons eu besoin d'aide, GlobalSign était à nos cotés, à chaque étape, grâce à une communication immédiate et personnelle.“ Nikos Mouratidis, Qualtek.
ACHETEZ UN CERTIFICAT DE SIGNATURE
DE CODE DES AUJOURD’HUI !
www.globalsign.fr/signature-de-code/