Si vous êtes avisé, votre ordinateur Windows devrait déjà disposer de formidables moyens de défense, notamment des anti-maliciels avancés..

Cependant, nous entrons maintenant dans l'ère du cloud computing, remplie d'applets téléchargeables, à un moment où nous luttons également contre une course aux armements intense contre des auteurs de logiciels malveillants de plus en plus ingénieux..

Pour cette raison, les défenses de votre PC doivent gérer le code provenant de nombreuses sources tout en vous protégeant des menaces extérieures..

Comment est-ce possible, et de quelle manière les méchants ont-ils déjà trouvé pour contrecarrer ces efforts? Plus important encore, comment pouvez-vous être sûr que votre ordinateur exécute uniquement ce que vous pensez qu'il fonctionne??

Connectez-vous

Contrairement aux applications achetées auprès de fournisseurs de confiance, lorsque vous téléchargez des applets ou des logiciels gratuits créés par des particuliers, l'utilisateur moyen (ou même le professionnel de la sécurité) ne peut être sûr que le logiciel qu'il pense utiliser n'est pas vraiment tout à fait autre.

La course aux armements entre développeurs et pirates informatiques prenant de l’ampleur, il ne faudrait pas seulement un logiciel antivirus avancé pour correspondre à l’état de la technique en matière de programmation malveillante. Heureusement, Windows dispose d’un moyen ingénieux de se protéger. C'est le système Authenticode de Microsoft.

Vous aurez vu des preuves d’Authenticode en action lorsque vous essayez d’installer un logiciel qui n’a pas encore suivi un processus connu sous le nom de signature. Un message d’avertissement apparaît, expliquant que l’éditeur du programme d’installation n’a pas pu être vérifié et vous offrant une chance de l’arrêter..

Signature unique

Les programmes sont signés en utilisant un algorithme de cryptage tel que RSA. Cette opération utilise une clé de chiffrement accessible au public pour créer un code de signature unique au monde décrivant le programme en cours de vérification. Étant public, n'importe qui peut obtenir la clé utilisée pour signer le code.

Le système d'exploitation l'obtient, génère sa propre copie de la signature et la compare à celle fournie avec le programme. S'ils concordent, le code correspond à ce que le fournisseur dit qu'il est, et il peut être autorisé à s'exécuter.

Ces clés de cryptage sont détenues par plusieurs sociétés de sécurité de grande taille et de confiance (autorités de certification) sous la forme de certificats numériques accessibles au public contenant les informations de la société qui a publié le programme que votre système d'exploitation tente de vérifier, ainsi que la signature unique de le programme lui-même.

Si vous êtes un développeur, le fait de demander à une autorité de certification de générer un certificat numérique indiquant que l’on peut faire confiance à votre code est généralement un processus coûteux et complexe. Obtenir un certificat commercial pour votre entreprise, c'est prouver au-delà de tout doute que vous êtes bien ce que vous prétendez être.

Selon Microsoft, votre présence physique peut être demandée en tant que représentant de votre entreprise pour vérifier votre identité par rapport à une photo d'identité. L’entreprise elle-même doit également posséder une notation appropriée de Dun and Bradstreet. Cette note est une mesure de la stabilité financière de votre entreprise et indique notamment que l'entreprise est toujours en activité. Cela empêche les pirates de se faire passer pour une entreprise qui a discrètement cessé ses opérations afin d'obtenir un faux certificat à des fins malveillantes.

Enfin, les candidats doivent également s’engager à ne pas diffuser de programmes malveillants. La question de savoir si cette dernière mesure n'est pas autre chose que des paroles est à débattre.

Les développeurs individuels peuvent également obtenir un certificat personnel pour signer leurs produits. Dans ce cas, aucune évaluation de Dun and Bradstreet n’est requise, mais vos informations d’identité seront vérifiées par rapport aux bases de données de consommateurs afin de vous assurer que vous êtes bien ce que vous dites. Dans les deux cas, l'obtention d'un certificat vous coûtera généralement beaucoup d'argent.

Avec autant d'autorités de certification, il est avantageux de rechercher la meilleure offre. Un certificat Microsoft Authenticode d'un an de VeriSign, par exemple, vous coûtera 499 $ (environ 250 £). Si vous vous attendez à ce que les gens téléchargent et installent votre logiciel au-delà d'un an, vous devrez renouveler le certificat ou votre code ne sera plus signé..

Clés publiques

Les lecteurs aux yeux de mouche ont peut-être remarqué que l'utilisation de clés publiques est le même mécanisme général que celui utilisé pour chiffrer le courrier électronique et SSH, ce qui permet de prouver que le serveur auquel vous essayez d'établir une connexion sécurisée et chiffrée est la réalité. et pas un mannequin qui a été mis en place pour écumer les noms d'utilisateur et mots de passe.

Le principal problème de la signature de code est que l'utilisateur moyen n'a aucune idée de ce que la popup associée signifie quand l'éditeur du code ne peut pas être vérifié. Il y a une tendance à prendre le risque d'être infecté et à tout laisser au logiciel antivirus, mais que faire si cela ne détecte pas le code malveillant?