Technologies expliquées simplement

Comment Vérifier l'Authenticité des Logiciels Windows avec des Signatures Numériques

Vérifier les Signatures des Logiciels en Vedette

Chaque fois que vous téléchargez un programme depuis Internet, vous devez faire confiance au développeur pour qu’il ne soit pas malveillant. Il n’y a pas d’autre moyen. Mais ce n’est généralement pas un problème, surtout avec des logiciels et des développeurs bien connus.

Cependant, les sites Web qui hébergent des logiciels sont plus vulnérables. Les attaquants peuvent subvertir la sécurité d’un site Web et remplacer des programmes par leur propre version malveillante. Cela ressemble et fonctionne exactement comme l’original, sauf qu’il a une porte dérobée insérée. Avec cette porte dérobée, les attaquants peuvent contrôler diverses parties de votre informatique quotidienne. Votre ordinateur est soit inséré dans un botnet, soit pire, l’utilitaire attend que vous utilisiez votre carte de crédit/débit et vole ses identifiants. Vous devez être particulièrement prudent lorsque vous téléchargez des logiciels importants tels qu’un système d’exploitation, un portefeuille de cryptomonnaie ou similaire.

Les Signatures Numériques Peuvent Sauver la Mise

Les développeurs de logiciels peuvent signer leurs produits. À moins qu’un attaquant ne puisse voler leur clé privée, il n’existe aucun moyen connu pour falsifier cette signature. Il existe de nombreux cas où des milliers d’utilisateurs ont téléchargé des programmes malveillants, et dans presque tous les cas, s’ils avaient vérifié les signatures numériques, ils auraient remarqué qu’elles étaient invalides, évitant ainsi la situation. Il est relativement facile de remplacer un logiciel sur un site Web vulnérable, mais incroyablement difficile de voler une clé privée qui est correctement stockée et isolée de l’accès Internet.

Vous pouvez en lire beaucoup plus sur les signatures numériques ici. Cet article discute de la même chose, sauf que vous utiliserez des utilitaires Windows pour valider les téléchargements.

Comment Utiliser Gpg4win pour Vérifier les Signatures Numériques

Allez sur cette page et téléchargez et installez Gpg4win. Les personnes intelligentes se demanderont : “Mais comment puis-je savoir que c’est légitime ?” Et c’est une bonne question. Si cela était compromis, alors toutes les étapes suivantes seraient inutiles.

Heureusement, le développeur a pris la peine de faire signer son logiciel par une autorité de certification. Et il détaille les étapes pour vérifier son programme sur son site Web. Bien qu’une cryptographie similaire soit utilisée pour vérifier la validité, la méthode globale est différente. Des certificats numériques sont utilisés pour cela.

Vérifier les Checksums de Fichier

Disons que vous souhaitez télécharger le portefeuille Bitcoin Core. Téléchargez l’exécutable Windows x64 (exe, pas zip). Ensuite, cliquez sur “Vérifier les signatures de version” pour télécharger le fichier “SHA256SUMS.asc”. La première étape consiste à vérifier le hachage du fichier d’installation. Vous pouvez en lire plus sur les hachages ici.

Allez dans votre dossier de téléchargements, et avec Gpg4win installé, vous pouvez maintenant faire un clic droit sur un fichier, et un nouveau menu contextuel apparaîtra. Faites un clic droit sur le fichier d’installation de Bitcoin (l’exe que vous avez téléchargé), et sélectionnez “Plus d’options GpgEX -> Créer des checksums”, comme sur l’image ci-dessous.

Vérifier les Signatures des Logiciels Clic Droit Checksums

Ouvrez à la fois “sha256sum.txt” qui a été généré et “SHA256SUMS.asc” que vous avez téléchargé. Comparez les checksums SHA256. Ils devraient correspondre parfaitement.

Vérifier les Signatures des Logiciels Comparer les Checksums Sha256

Vérifier la Signature du Fichier qui Liste les Checksums

Bien que vous veniez de télécharger un fichier d’installation et une liste de checksums depuis le même site Web, si un attaquant a remplacé le fichier d’installation, il pourrait facilement remplacer la liste des checksums également. Ce qu’il ne peut pas faire, cependant, c’est falsifier une signature. Cela peut être validé par une clé publique connue (légitime). Tout d’abord, vous devez télécharger cette clé.

L’image suivante montre à quoi ressemble une signature.

Vérifier les Signatures des Logiciels Exemple de Signature Inline

Ceci est une signature inline (incluse dans le même fichier qu’elle valide). Parfois, elle sera détachée, incluse dans un fichier séparé. Si vous changez juste une lettre dans ce fichier texte, la signature devient invalide. C’est un moyen de savoir que le développeur a approuvé et signé ces contenus exacts, spécifiques avec les bons checksums.

Importer la Clé Publique du Développeur

Vous avez les clés publiques disponibles au téléchargement sous “Clés de Signature de Version de Bitcoin Core” sur la page de téléchargement de Bitcoin. Par mesure de précaution, vous pouvez les télécharger depuis une autre source. Si un attaquant a remplacé les clés légitimes par les siennes, il y a de fortes chances que nous trouvions les bonnes clés (et empreintes digitales) dans tous les autres endroits où elles ont été publiées ou discutées.

Faites un clic droit sur “SHA256SUMS.asc” et sélectionnez “Déchiffrer et Vérifier”. Le programme vous dira que vous n’avez pas encore la clé publique. Cliquez sur “Rechercher”.

Vérifier les Signatures des Logiciels Rechercher la Clé Publique

La recherche peut prendre un certain temps. Notez la chaîne dans le champ “Trouver”.

Vérifier les Signatures des Logiciels Empreinte de Clé

Vous pouvez copier cela et le coller dans Google pour voir si cette empreinte de clé publique a été discutée sur des forums/sites Web légitimes, etc. Plus vous le trouvez à plusieurs endroits, plus vous pouvez être certain qu’il appartient au propriétaire prévu.

Cliquez sur la clé puis importez-la. Vous pouvez cliquer sur “Non” dans l’invite que vous obtenez ensuite (prendre des mesures pour certifier la clé) si vous ne savez pas comment ou ne voulez pas le faire maintenant.

Enfin, cliquez sur “Afficher le Journal d’Audit”.

Vérifier les Signatures des Logiciels Afficher le Journal d'Audit

Vous devriez voir le texte qui a été mis en surbrillance dans l’image suivante, “Bonne signature”.

Vérifier les Signatures des Logiciels Bonne Signature

Essayez de changer juste une lettre dans “SHA256SUMS.asc”, et vous obtiendrez ce qui est représenté dans l’image suivante.

Vérifier les Signatures des Logiciels Mauvaise Signature

Conclusion

Peu de développeurs vous donnent la possibilité de vérifier que leur logiciel provient d’eux. Mais généralement, les programmes qui traitent des données sensibles ou qui sont très importants vous offriront cette option. Utilisez-la et cela pourrait vous sauver d’ennuis un jour.

Contenu

  1. Les Signatures Numériques Peuvent Sauver la Mise
  2. Comment Utiliser Gpg4win pour Vérifier les Signatures Numériques
  3. Vérifier les Checksums de Fichier
  4. Vérifier la Signature du Fichier qui Liste les Checksums
  5. Importer la Clé Publique du Développeur
  6. Conclusion
Tableau de bord Ello

Ello : Exploration du Réseau Social Privé

Bitdefender n'installant pas : 3 solutions faciles que vous pouvez utiliser

Plus d'informations sur les corrections de Bitdefender

Google supprime Inbox et lui donne six mois à vivre

rapports-d-aspect-16x9

Comprendre les rapports d'aspect vidéo

Gestionnaire de fichiers avec des étiquettes pour organiser vos fichiers : Top 5

Réparer le réveil sur LAN qui ne fonctionne pas

Wake On LAN ne fonctionne pas sur Windows [Résolu]

easycap-mac-mspacman-console

Utiliser EasyCAP pour capturer des VHS et des consoles sur Mac

Google teste une nouvelle fonctionnalité Chrome pour l'éligibilité à la mise à niveau vers Windows 11