la signature de code - code signing
Post on 21-Jun-2015
108 Views
Preview:
DESCRIPTION
TRANSCRIPT
La signature de code protégez-vous et protégez vos clients
13/11/2014 www.aliceandbob.fr 1
13/11/2014 www.aliceandbob.fr 2
Objectif de la signature de code
• Les problèmes de sécurité sur les systèmes d’exploitation proviennent majoritairement des logiciels et composants installés
• Les utilisateurs hésitent à installer des logiciels composants dont l’origine n’est pas connue
• La signature de code garantit l’origine d’un composant logiciel : « qui en est l’éditeur ? » « Est-ce une vraie version du composant? » « cette version a-t-elle été modifiée de façon intempestive (malware et virus)? »
C’est en quelque sorte l’appellation d’origine contrôlée
13/11/2014 www.aliceandbob.fr 3
Que faut-il signer? • Pilotes de périphériques • Applications Entreprise • Freeware • Middleware • Shareware • Logiciel OEM • Systèmes d’Exploitation • Logiciel Packagé • Logiciel Utilitaire • Applications Web
13/11/2014 www.aliceandbob.fr 4
• Active X • Composants Java • Composants Adobe
Tous les exécutables dont ceux avec interpréteur
Configuration par défaut
13/11/2014 www.aliceandbob.fr 5
Dans la configuration Windows par défaut recommandée, si un logiciel non signé est installé sur votre machine, un message d’erreur s’affiche.
Bénéfices de la signature de code
• Pour l’éditeur de logiciel : – Remplace un message anxiogène par un message
rassurant – Affirme son identité et image de marque – Rassure les utilisateurs – Accroit les taux d’installation
• Pour les utilisateurs : – Accroitre la sécurité – Accroit la confiance – Evite les malware et les virus
13/11/2014 www.aliceandbob.fr 6
2 types de signatures
• Code Signing : – Parfait pour tout type de signature de code
• « Extended Validation » Code Signing : – Signature « haut de gamme » – Vérifications étendues de l’organisation – Certificat de signature du code sur une clé USB
cryptographique – Ajoute la réputation « Microsoft SmartScreen »
(à partir de Windows 8 et IE 8, les composants sans réputation sont marqués comme tels par Microsoft)
13/11/2014 www.aliceandbob.fr 7
Plateformes supportées
• Microsoft® – Windows, Active X, VB
(Authenticode)
• Java® – Java Code Applets
• Apple® – Apple in Mac OS 9 and later
• Adobe® – Adobe AIR
13/11/2014 www.aliceandbob.fr 8
Comment cela marche-t-il ?
1. L’éditeur de logiciel demande la signature de code à un Tiers de Confiance tel que DigiCert
2. DigiCert demande à l’éditeur de logiciel les documents permettant de valider l’organisation
3. L’éditeur de logiciel créer une bi-clé et transmet la clé publique à DigiCert
4. DigiCert crée le certificat et le renvoi à l’éditeur de logiciel avec un logiciel de signature de code
5. L’éditeur de logiciel peut signer son code avec la clé privée associée au certificat
13/11/2014 www.aliceandbob.fr 9
Horodatage
• La signature est associée à un horodatage via un serveur d’horodatage
• Le composant logiciel est valide après cette date et heure, même après que le certificat ait expiré
13/11/2014 www.aliceandbob.fr 10
Racine de l’Autorité de Certification
• Les certificats émis le sont sous une racine reconnue, comme celle de DigiCert.
• Cette racine est reconnue par les systèmes d’exploitation, navigateurs, etc. comme de confiance
• Note: – Pour des raisons d’organisation, une racine « mère »
peut faire confiance à une autre racine « fille » dite racine intermédiaire
– Si un certificat est émis par une racine intermédiaire, sa racine « mère » fait aussi confiance à ce certificat On parle de transitivité de la confiance
13/11/2014 www.aliceandbob.fr 11
L ’Autorité de Certification
• Délivre les certificats permettant de signer • Signe un accord avec les éditeurs de systèmes
d’exploitations, de navigateurs, etc. • Suit des procédures très strictes éditées par la CAB
Forum • Est auditée pour vérifier qu’elle suit bien les
procédures à la lettre
13/11/2014 www.aliceandbob.fr 12
Techniquement (sous le capot)
13/11/2014 www.aliceandbob.fr 13
1) Un « hash » du composant logiciel est calculé puis signé avec la clé privée
2) Le « hash » crypté du composant logiciel est décrypté avec la clé publique 3) Le « hash » est calculé puis comparé avec l’autre
Indications Tarifaires
• Signature toutes plateformes : – A partir de ~130€ / an
• Signature toutes plateformes (Extended Validation) – A partir de ~250€ / an
• Durées possibles: 1 an, 2 ans ou 3 ans • Top Autorité de Certification (CA)
13/11/2014 www.aliceandbob.fr 14
Rappel des bénéfices
• Pour l’éditeur de logiciel : – Remplace un message anxiogène par un message
rassurant – Affirme son identité et image de marque – Rassure les utilisateurs – Accroit les taux d’installation
• Pour les utilisateurs : – Accroitre la sécurité – Accroit la confiance – Evite les malware et les virus
13/11/2014 www.aliceandbob.fr 15
Conclusions
• Les logiciels / composants doivent aujourd’hui être signés
• L’opération est simple à réaliser • Les Autorités de Certifications peuvent vous
accompagner • Le coût est d’une centaine d’euros par an
13/11/2014 www.aliceandbob.fr 16
Merci !
Voir toutes nos présentations et documents sur Slideshare:
• L’avènement de la signature électronique : en 2014 • La cryptographie et la PKI enfin expliquées simplement • Comment bien choisir ses certificats SSL • L’authentification forte ou vers la fin du mot de passe • Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification • Accroître la confiance dans les personnes et les machines qui se connectent à votre
réseau d’entreprise • Les solutions SaaS permettent l’avènement des usages des certificats électroniques • La vérité sur HeartBleed • La NSA et les Autorités de Certification : Mythe ou réalité ?
contact@aliceandbob.fr
13/11/2014 www.AliceAndBob.fr 17
top related