Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.
Windows

Comment vérifier l’authenticité du logiciel Windows avec des signatures numériques

Chaque fois que vous téléchargez un programme sur Internet, vous devez faire confiance au développeur qu’il n’est pas malveillant. Il n’y a pas de chemin aux alentours. Mais ce n’est généralement pas un problème, surtout avec des logiciels et des développeurs bien connus.

Cependant, les sites Web qui hébergent des logiciels sont plus vulnérables. Les attaquants peuvent compromettre la sécurité d’un site Web et remplacer les programmes par leur propre version malveillante. Cela ressemble et fonctionne exactement comme l’original, sauf qu’il a une porte dérobée insérée. Avec cette porte dérobée, les attaquants peuvent contrôler diverses parties de votre informatique quotidienne normale. Votre ordinateur est soit inséré dans un botnet, soit pire, l’utilitaire attend que vous utilisiez votre carte de crédit/débit et vole ses informations d’identification. Vous devez être particulièrement prudent lorsque vous téléchargez des logiciels importants tels qu’un système d’exploitation, un portefeuille de crypto-monnaie ou similaire.

Contenu

Les signatures numériques peuvent sauver la journée

Les auteurs de logiciels peuvent signer leurs produits. À moins qu’un attaquant ne puisse voler sa clé privée, il n’existe aucun moyen connu de falsifier cette signature. Il existe de nombreux cas où des milliers d’utilisateurs ont téléchargé des programmes malveillants, et dans presque tous les cas, s’ils avaient vérifié les signatures numériques, ils auraient remarqué qu’elles étaient invalides, évitant ainsi la situation. Il est relativement facile de remplacer un logiciel sur un site Web vulnérable, mais incroyablement difficile de voler une clé privée correctement stockée et isolée de l’accès Internet.

Vous pouvez en savoir plus sur les signatures numériques ici. Cet article traite de la même chose, sauf que vous utiliserez des utilitaires Windows pour valider les téléchargements.

Psssssst :  Réponse rapide : Comment nettoyer votre ordinateur Windows 10 ?

Comment utiliser Gpg4win pour vérifier les signatures numériques

Allez sur cette page et téléchargez et installez Gpg4win. Les gens intelligents se demanderont : « Mais comment puis-je savoir que c’est légitime ? » Et c’est une bonne question. Si cela était cassé, alors toutes les étapes ultérieures seraient inutiles.

Heureusement, le développeur s’est donné beaucoup de mal pour faire signer son logiciel par une autorité de certification. Et il détaille les étapes pour vérifier son programme sur son site internet. Bien qu’une cryptographie similaire soit utilisée pour vérifier la validité, la méthode globale est différente. Des certificats numériques sont utilisés pour cela.

Vérifier les sommes de contrôle des fichiers

Supposons que vous souhaitiez télécharger le portefeuille Bitcoin Core. Téléchargez l’exécutable Windows x64 (exe, pas zip). Ensuite, cliquez sur « Vérifier les signatures de version » pour télécharger le fichier « SHA256SUMS.asc ». La première étape consiste à vérifier le hachage du fichier d’installation. Vous pouvez en savoir plus sur les hachages ici.

Allez dans votre dossier de téléchargements, et avec Gpg4win installé, vous pouvez maintenant cliquer avec le bouton droit sur un fichier et un nouveau menu contextuel apparaîtra. Cliquez avec le bouton droit sur le fichier d’installation Bitcoin (l’exe que vous avez téléchargé) et sélectionnez « Plus d’options GpgEX -> Créer des sommes de contrôle », comme dans l’image ci-dessous.

Ouvrez à la fois « sha256sum.txt » qui a été généré et « SHA256SUMS.asc » que vous avez téléchargé. Comparez les sommes de contrôle SHA256. Ils devraient être un match parfait.

Vérifier les signatures logicielles Comparer les sommes de contrôle Sha256

Vérifier la signature du fichier qui répertorie les sommes de contrôle

Alors que vous venez de télécharger un fichier de configuration et une liste de sommes de contrôle à partir du même site Web, si un attaquant remplaçait le fichier de configuration, il pourrait également facilement remplacer la liste de sommes de contrôle. Ce qu’il ne peut pas faire, cependant, c’est falsifier une signature. Cela peut être validé par une clé publique connue (légitime). Tout d’abord, vous devez télécharger cette clé.

Psssssst :  Comment activer les fichiers d'échange dans Windows 10 ?

L’image suivante montre à quoi ressemble une signature.

Vérifier l'exemple de signature en ligne des signatures logicielles

Il s’agit d’une signature en ligne (incluse dans le même fichier qu’il valide). Parfois, cela sera détaché, inclus dans un fichier séparé. Si vous modifiez une seule lettre dans ce fichier texte, la signature devient invalide. C’est un moyen de savoir que le développeur a approuvé et signé ces contenus précis et spécifiques avec les sommes de contrôle correctes.

Importer la clé publique du développeur

Vous avez les clés publiques disponibles au téléchargement sous « Bitcoin Core Release Signing Keys » dans la page de téléchargement de Bitcoin. Par mesure de précaution, vous pouvez les télécharger à partir d’une autre source. Si un attaquant a remplacé les clés légitimes par les siennes, il y a de fortes chances que nous trouvions les bonnes clés (et empreintes digitales) dans tous les autres endroits où elles ont été publiées ou discutées.

Cliquez avec le bouton droit sur « SHA256SUMS.asc » et sélectionnez « Décrypter et vérifier ». Le programme vous dira que vous n’avez pas encore la clé publique. Cliquez sur « Rechercher ».

Psssssst :  Ubuntu a-t-il besoin d'une protection antivirus ?

Vérifier les signatures logicielles Rechercher la clé publique

La recherche peut prendre un certain temps. Notez la chaîne dans le champ « Rechercher ».

Vérifier l'empreinte digitale de la clé des signatures logicielles

Vous pouvez la copier et la coller dans Google pour voir si cette empreinte de clé publique a été discutée sur des fils de discussion/sites Web légitimes, etc. Plus vous la trouvez d’endroits, plus vous pouvez être certain qu’elle appartient au propriétaire prévu.

Cliquez sur la clé puis importez-la. Vous pouvez cliquer sur « Non » dans l’invite suivante (prendre des mesures pour certifier la clé) si vous ne savez pas comment ou si vous ne voulez pas le faire maintenant.

Enfin, cliquez sur « Afficher le journal d’audit ».

Vérifier les signatures logicielles Afficher le journal d'audit

Vous devriez voir le texte qui a été mis en surbrillance dans l’image suivante, « Bonne signature ».

Vérifier les signatures logicielles Bonne signature

Essayez de changer une seule lettre dans « SHA256SUMS.asc » et vous obtiendrez ce qui est représenté dans l’image suivante.

Vérifier les signatures logicielles Mauvaise signature

Conclusion

Peu de développeurs vous donnent la possibilité de vérifier que leur logiciel provient d’eux. Mais généralement, les programmes qui traitent des données sensibles ou qui sont très importantes vous offriront cette option. Utilisez-le et cela vous évitera peut-être des ennuis un jour.

Cet article est-il utile ? Oui Non

Bouton retour en haut de la page

Adblock détecté

Veuillez désactiver votre bloqueur de publicités pour pouvoir visualiser le contenu de la page. Pour un site indépendant avec du contenu gratuit, c’est une question de vie ou de mort d’avoir de la publicité. Merci de votre compréhension! Merci