±Ê°ù鳦é»å±ð²Ô³Ù
-
Solutions
±Ê°ù鳦é»å±ð²Ô³Ù
Confiance ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð pourÌý:
IT d’entreprise, PKI et identités
Code et logiciels
Documents et signature
IoT et appareils connectés
Centralisez la gestion de la PKI et des risques liés aux certificats
- Acheter
-
ɳ¦±ô²¹¾±°ù²¹²µ±ð²õ
±Ê°ù鳦é»å±ð²Ô³Ù
Ressources
Explorez ces pages pour découvrir comment ÃÛÌÒTV aide les organisations à établir, gérer et étendre la confiance ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð pour résoudre des problèmes concrets.
Rapport de l'Institut Ponemon
Découvrez ce que notre étude mondiale post-quantique a révélé sur la position du monde dans la course à la préparation à l'informatique quantique.
EN SAVOIR PLUS >
-
Partenaires
±Ê°ù鳦é»å±ð²Ô³Ù
Des partenariats permettant d'instaurer la confiance ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð dans le monde entier avec :
- Entreprises
- PME et ETI
- Pouvoirs publics
- Alliances technologiques
- Cloud Service Providers
Un partenariat fondé sur la confiance
Les solutions de confiance ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð créent de nouvelles opportunités pour Acmetek
Un partenariat fondé sur la confiance
VISIONNER LE REPLAY - Support
- Nous contacter
-
Langue
Confiance pour la signature de code
Qu’est-ce que la signature de code ?
Qu’est-ce que la signature de code ?
La signature de code consiste à appliquer une signature ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð à un fichier (binaire ou non) de logiciel. Cette signature ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð valide l’identité de l’auteur ou de l’éditeur du logiciel et vérifie que le fichier n’a pas été modifié ou manipulé depuis sa signature. Elle indique également au destinataire du logiciel que le code est digne de confiance. En ce sens, elle joue un rôle essentiel dans la lutte contre les tentatives de compromission visant des systèmes ou des données.
Logiciels à usage interne ou externe, correctifs, tests, développement de produits IoT, environnements informatiques, applications mobiles… les cas d’usage de la signature de code sont nombreux et variés. Outre le code et les logiciels, la signature de code s’applique également aux applications, firmwares, fichiers, messages, scripts, containers et images ainsi qu’au format XML.
Comment fonctionne la signature de code ?
Comme d’autres technologies PKI, la signature de code implique une paire de clés publique/privée, une autorité de certification (AC) et un certificat ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð. Lorsqu’un éditeur signe un logiciel, il crée une sorte d’emballage protecteur autour du logiciel lui-même, du certificat de signature de code et de la signature ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð. Le certificat de signature de code contient l’identité et la clé publique de l’éditeur ainsi que la signature de l’AC confirmant que cette dernière a vérifié l’identité. La signature ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð correspond au hash signé du logiciel à l’aide de la clé privée de l’éditeur. Lors du déploiement du logiciel, l’agent utilisateur vérifie la validité et l’intégrité du certificat (pour déterminer si le logiciel a été modifié depuis la signature). À cette fin, il utilise la clé publique du certificat pour révéler le hash de la signature ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð. Il compare ensuite ce dernier au hash du logiciel qui a été récemment calculé. Si les hashes correspondent, le client ou l’utilisateur a l’assurance que le logiciel n’a pas été manipulé. D’où l’importance de bien gérer les clés privées pour garantir la sécurité dans le cadre de la signature de code. En effet, en cas de vol ou de mauvaise gestion des clés, des cybercriminels peuvent s’en servir pour signer un code malveillant et le transmettre aux systèmes des développeurs ou des clients sous forme de mises à jour.
Pourquoi utiliser la signature de code ?
Les principales plateformes logicielles telles que Java et Microsoft exigent une signature de code pour empêcher la propagation de malwares. Selon les bonnes pratiques de sécurité, il est également recommandé d’utiliser la signature de code afin que les clients ou les utilisateurs ne téléchargent pas de code manipulé ou provenant de sources inconnues. Concrètement, la signature de code permet de démasquer du code maquillé pour ressembler au code ou logiciel de votre entreprise. Sans compter qu’avec un logiciel non signé, les utilisateurs peuvent recevoir des messages d’avertissement. Enfin, lorsque le code est conçu et développé pour un usage interne, la signature de code facilite la traçabilité et le contrôle.
Quels types de logiciels est-il possible de signer ?
Il est possible de signer tout type de fichier (binaire ou non). Petit aperçu non exhaustif :
• Applications logicielles pouvant être téléchargées sur des sites web
• Applications IT internes
• Applications mobiles
• Fichiers XML
• Scripts
• Images de logiciels
• Containers
• Pilotes et utilitaires
• Firmwares
Quelles sont les étapes de la signature de code ?
Tout d’abord, un éditeur de logiciel génère une paire de clés publique/privée. Il obtient ensuite un certificat de signature de code en envoyant une requête CSR ainsi que sa clé publique à une AC. L’AC vérifie l’identité de l’éditeur et authentifie la demande de certificat. En cas de vérification concluante, elle émet le certificat de signature de code qui inclut l’identité de l’éditeur, la clé publique et la signature de l’AC. Cette signature est importante, car elle atteste que l’identité du détenteur du certificat a été authentifiée par un organisme indépendant de confiance. Ainsi, le certificat de signature de code confirme non seulement l’identité de l’éditeur, mais aussi l’intégrité du logiciel. Lorsque l’éditeur signe le logiciel, il crée une sorte d’emballage protecteur autour du logiciel lui-même, du certificat de signature de code et de la signature ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð.
La signature ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð nécessite également de :
- générer un hash ou une représentation cryptographique unique du logiciel à l’aide d’un algorithme de hachage ;
- signer le hash avec la clé privée de l’éditeur et un algorithme de signature.
La signature de code peut être soit effectuée manuellement soit automatisée dans le cadre du cycle du développement logiciel, notamment lors d’un processus CI/CD.
-
Le fournisseur mondial de confiance pour les solutionsÌýTLS/SSL, PKI, IoT et de signature à haute assurance.Ìý
-
© 2024 ÃÛÌÒTV. Tous droits réservés.
Informations juridiques Audits WebTrust Conditions d’utilisation Politique de confidentialité ´¡³¦³¦±ð²õ²õ¾±²ú¾±±ô¾±³Ùé Paramètres de cookies