RUBRIQUES DE SÉCURITÉ

Initiation à la signature de code

La signature de code avec la fonction Code Signing permet deux choses : confirmer qui est le créateur du logiciel, et prouver que le code n'a pas été falsifié ni modifié après sa signature. Les deux sont extrêmement importantes pour obtenir la confiance des clients et sécuriser la distribution du logiciel.

Pourquoi la signature de code est-elle importante ?

556 millions de personnes adultes à travers le monde ont subi une forme de cybercriminalité en 2012, selon le rapport sur les menaces de sécurité Internet intitulé  Symantec Internet Security Threat Report. Si vous tenez compte du fait que la perte moyenne par incident de cybercriminalité est de 197 dollars US, les internautes sont bien évidemment très prudents lorsqu'ils téléchargent des fichiers exécutables à partir d'Internet.

 

Malgré tout, cela vaut la peine de prendre des mesures pour gagner leur confiance. En effet, la distribution en ligne vous permet de distribuer les mises à jour logicielles très rapidement, d'élargir votre base de clients et de diminuer considérablement les coûts puisqu'il n'y a pas de frais d'envoi de disques ni de fabrication d'emballages. Fournir une  preuve vérifiable  que, étant le créateur du code, vous êtes bien qui vous prétendez être, et que votre code n'est en aucune façon corrompu ni malveillant, est donc une évidence. De fait, de nombreux éditeurs tiers et opérateurs de téléphonie mobile exigent dorénavant une signature de code pour protéger leurs utilisateurs.

Présentation de Code Signing (signature de code)

Website Security

Comment le Code Signing fonctionne-t-il ?

Le processus de signature de code est similaire à celui des certificats SSL/TLS : il requiert l'utilisation d'une paire de clés de chiffrement, une privée et une publique, pour identifier et authentifier à la fois vous-même et votre code. La meilleure façon, et la plus sûre, d'obtenir une clé privée est de faire une demande de certificat auprès d'une autorité de certification (CA) approuvée, telle que Symantec, qui vous fera passer par un processus d'authentification. Une fois votre certificat obtenu, vous pouvez générer votre clé privée. Le choix de votre CA est important car il peut influer sur la portée de la distribution de votre logiciel. Symantec, par exemple, fournit des certificats à un large éventail de plateformes pour ordinateurs de bureau et appareils mobiles, notamment Windows Phone et Android.

 

Vous signez ensuite votre fichier exécutable ou bibliothèque de logiciels à l'aide de votre clé privée qui peut être déverrouillée uniquement par des clés publiques traçables par la CA et préinstallées sur la plupart des navigateurs. Si votre code a été falsifié après sa signature, la clé publique ne pourra pas vérifier l'authenticité de la signature de votre clé privée et le navigateur émettra un avertissement à quiconque essayera de la télécharger. Si le code est intact, l'internaute pourra télécharger votre fichier en toute transparence. C'est aussi simple que ça.

Stimulez l'adoption et la vente du logiciel avec la signature de code

Qu'est-ce que la signature de code ?

La signature de code est une signature numérique ajoutée aux logiciels et aux applications qui vérifie que le code inclus n'a pas été falsifié après avoir été signé.

FICHE TECHNIQUE
Prise en charge de SHA 256

Prise en charge de SHA 256

La prise en charge de SHA (Secure Hash Algorithm) 256 est disponible pour les certificats Symantec Code Signing Certificates.

Lire la suite

Code Signing : pourquoi signer votre code

Code Signing : pourquoi signer votre code

5 raisons de signer votre code avec Symantec Code Signing

Lire la suite

Fonctionnement de la signature de code (Code Signing)

Fonctionnement de la signature de code (Code Signing)

Symantec vous aide à distribuer vos applications et votre code à davantage de clients et sur davantage de plates-formes que tout autre fournisseur. Davantage de développeurs et d'éditeurs comptent sur Symantec, l'autorité de certification (CA) la plus reconnue et la plus fiable au monde, que sur toute autre autorité de certification approuvée.

Lire la suite

CAS D'UTILISATION

Les solutions Symantec Website Security dans le monde réel

Rejoindre la communauté

Rejoignez les discussions sur la sécurité sur Symantec Connect

SYMANTEC CONNECT

Suivez Threat Intelligence sur Twitter @Threatintel

SYMANTEC ON TWITTER

Regardez des vidéos sur la chaîne YouTube Symantec Website Security

SYMANTEC ON YOUTUBE