Comment vérifier lauthenticité du logiciel Windows à laide de signatures numériques

Comment vérifier lauthenticité du logiciel Windows à laide de signatures numériques

Chaque fois que vous téléchargez un programme sur Internet, vous êtes obligé de croire au développeur qu'il ne s'agit pas d'un malware. Pas d'autre chemin. Mais généralement, cela ne pose pas de problème, en particulier avec les développeurs et logiciels célèbres.

Cependant, les sites Web hébergeant des logiciels sont plus vulnérables aux attaques. Les attaquants peuvent compromettre la sécurité d'un site Web et remplacer les programmes par des versions malveillantes. La version malveillante ressemble et fonctionne exactement comme l’original, sauf qu’elle comporte une porte dérobée insérée. Grâce à cette porte dérobée, un attaquant peut contrôler différentes parties de l’ordinateur. Votre ordinateur sera inséré dans un botnet ou pire, le malware attendra que vous utilisiez votre carte de crédit/débit et vole vos informations de connexion. Vous devez être particulièrement prudent lorsque vous téléchargez des logiciels importants tels que des systèmes d'exploitation, des portefeuilles de crypto-monnaie ou d'autres logiciels similaires.

Instructions pour authentifier le logiciel Windows à l'aide de signatures numériques

Les signatures numériques peuvent vous protéger de nos jours

Les auteurs de logiciels peuvent « signer » leurs produits. À moins qu’un attaquant ne puisse voler la clé privée de l’auteur du logiciel, personne n’a aucun moyen de falsifier cette signature. Il existe de nombreux cas où des milliers d'utilisateurs ont téléchargé des programmes malveillants et dans presque tous les cas, s'ils avaient vérifié les signatures numériques, ils auraient remarqué qu'elles n'étaient pas valides et la situation aurait pu être évitée. Il est relativement facile de remplacer un logiciel sur un site Web vulnérable, mais extrêmement difficile de voler une clé privée correctement stockée et isolée de l'accès à Internet.

Vous pouvez en savoir plus sur les signatures numériques dans l'article : Comment vérifier l'authenticité d'un logiciel Linux à l'aide de signatures numériques . Cet article traite de la même chose, sauf que vous utiliserez les utilitaires Windows pour authentifier les téléchargements.

Comment utiliser Gpg4win pour vérifier les signatures numériques

Téléchargez et installez Gpg4win . Les gens intelligents se demanderont comment savoir avec certitude que ce logiciel est légitime. C'est une bonne question et si cette page de téléchargement est cassée, alors toutes les étapes qui suivront seront vaines.

Heureusement, le développeur Gpg4win s'est donné beaucoup de mal pour faire signer son logiciel par une autorité de certification et détaille les étapes pour vérifier son programme sur le site Web. Bien que la même cryptographie soit utilisée pour vérifier la validité, la méthode globale sera différente. Des certificats numériques sont utilisés à cet effet.

Confirmer la somme de contrôle du fichier

Disons que vous souhaitez télécharger le portefeuille Bitcoin Core . Téléchargez le fichier exécutable Windows x64 ( exe , pas zip ). Ensuite, cliquez sur « Vérifier les signatures de version » pour télécharger le fichier SHA256SUMS.asc. La première étape consiste à vérifier le hachage du fichier d'installation.

Allez dans le dossier de téléchargement et avec Gpg4win installé, vous pouvez maintenant cliquer avec le bouton droit sur un fichier et un nouveau menu contextuel apparaîtra. Faites un clic droit sur le fichier d'installation Bitcoin ( exe que vous avez téléchargé) et sélectionnez Plus d'options GpgEX > Créer des sommes de contrôle , comme dans l'image ci-dessous.

Comment vérifier l'authenticité du logiciel Windows à l'aide de signatures numériques

Ouvrez les fichiers sha256sum.txt créés et téléchargés SHA256SUMS.asc . Comparez la somme de contrôle SHA256 et elles devraient être identiques.

Comment vérifier l'authenticité du logiciel Windows à l'aide de signatures numériques

Vérifiez la signature du fichier de la liste de contrôle

Même si vous venez de télécharger le fichier d'installation et la liste de somme de contrôle à partir du même site Web, si un attaquant remplace le fichier d'installation, il peut également facilement remplacer la liste de somme de contrôle. Cependant, les pirates ne peuvent pas falsifier les signatures. Cela peut être confirmé par une clé publique connue (légitime). Tout d’abord, vous devez télécharger cette clé.

L'image de signature ressemble à ceci :

Comment vérifier l'authenticité du logiciel Windows à l'aide de signatures numériques

Il s'agit d'une signature en ligne (incluse dans le même fichier qu'elle valide). Parfois, cette signature sera séparée et placée dans un fichier séparé. Si vous modifiez une seule lettre dans ce fichier texte, la signature ne sera plus valide. C'est un moyen de savoir avec certitude que le développeur a approuvé et signé ces actifs précis et spécifiques avec la somme de contrôle correcte.

Entrez la clé publique du développeur

Vous disposez des clés publiques disponibles en téléchargement dans la section « Bitcoin Core Release Signing Keys » sur la page de téléchargement de Bitcoin. Par précaution, vous pouvez les télécharger depuis une autre source. Si l'attaquant remplace les clés légitimes par sa clé privée, vous trouverez les bonnes clés (et empreintes digitales) dans tous les autres endroits où elles ont été publiées ou discutées.

Faites un clic droit sur SHA256SUMS.asc et sélectionnez Décrypter et vérifier . Le programme vous dira que vous n'avez pas de clé publique. Cliquez sur Rechercher.

Comment vérifier l'authenticité du logiciel Windows à l'aide de signatures numériques

La recherche peut prendre un certain temps. Notez la chaîne dans le champ Rechercher.

Comment vérifier l'authenticité du logiciel Windows à l'aide de signatures numériques

Vous pouvez copier et coller dans Google pour voir les empreintes digitales de clé publique qui ont été discutées sur des sites Web ou des forums légitimes. Plus vous trouvez cette clé publique à d’endroits, plus vous pouvez être sûr qu’elle appartient au propriétaire légitime.

Cliquez sur la clé puis entrez-la. Vous pouvez cliquer sur Non dans l'invite que vous recevrez ensuite (prendre des mesures pour confirmer la clé), si vous ne savez pas comment ou si vous ne souhaitez pas le faire pour le moment.

Enfin, cliquez sur Afficher le journal d'audit .

Comment vérifier l'authenticité du logiciel Windows à l'aide de signatures numériques

Vous verrez le texte de bonne signature mis en évidence dans l’image suivante.

Essayez de modifier une seule lettre dans SHA256SUMS.asc et vous obtiendrez le résultat comme illustré dans l'image suivante.

Comment vérifier l'authenticité du logiciel Windows à l'aide de signatures numériques

Très peu de développeurs vous donnent la possibilité de vérifier si le logiciel vient de chez eux. Mais généralement, les programmes qui gèrent des données sensibles ou très importantes vous proposeront cette option. Utilisez l’option de vérification de la signature numérique et cela pourrait vous éviter des ennuis un jour.

J'espère que vous réussirez.


Comment lancer des applications instantanément avec Wox sous Windows

Comment lancer des applications instantanément avec Wox sous Windows

Découvrez comment utiliser Wox pour lancer vos applications, exécuter des commandes et plus encore, instantanément.

Comment créer un cercle jaune autour du pointeur de la souris sous Windows

Comment créer un cercle jaune autour du pointeur de la souris sous Windows

Découvrez comment créer un cercle jaune autour du pointeur de la souris pour le mettre en surbrillance sur Windows 10. Suivez ces étapes faciles pour améliorer votre expérience utilisateur.

Pourquoi ladresse IP de Localhost est-elle 127.0.0.1 ?

Pourquoi ladresse IP de Localhost est-elle 127.0.0.1 ?

Découvrez pourquoi l

Comment ajouter des raccourcis de dossiers au menu Démarrer sous Windows 11

Comment ajouter des raccourcis de dossiers au menu Démarrer sous Windows 11

Sous Windows 11, configurez facilement des raccourcis pour accéder rapidement à des dossiers spéciaux dans votre menu Démarrer.

8 façons de corriger lerreur Il ny a aucun élément de démarrage à afficher dans le Gestionnaire des tâches sous Windows

8 façons de corriger lerreur Il ny a aucun élément de démarrage à afficher dans le Gestionnaire des tâches sous Windows

Découvrez comment résoudre l

Comment utiliser un disque dur externe avec un Chromebook

Comment utiliser un disque dur externe avec un Chromebook

Découvrez comment utiliser un disque dur externe avec un Chromebook pour transférer et stocker vos fichiers en toute sécurité. Suivez nos étapes pour un usage optimal.

Comment activer une adresse MAC aléatoire pour le réseau WiFi sous Windows 10

Comment activer une adresse MAC aléatoire pour le réseau WiFi sous Windows 10

Dans ce guide, vous apprendrez les étapes pour toujours utiliser une adresse MAC aléatoire pour votre adaptateur WiFi sous Windows 10. Optimisez votre sécurité en ligne!

Instructions pour désinstaller Internet Explorer sous Windows 10

Instructions pour désinstaller Internet Explorer sous Windows 10

Découvrez comment désinstaller Internet Explorer 11 sur Windows 10 pour optimiser l'espace de votre disque dur.

Comment utiliser Smart Defrag pour défragmenter efficacement les disques durs

Comment utiliser Smart Defrag pour défragmenter efficacement les disques durs

Découvrez comment utiliser Smart Defrag, un logiciel de défragmentation de disque dur gratuit et efficace, pour améliorer les performances de votre ordinateur.

Comment partager un VPN via un point daccès WiFi depuis un ordinateur portable

Comment partager un VPN via un point daccès WiFi depuis un ordinateur portable

Le moyen le plus simple de déverrouiller du contenu et de protéger tous les appareils avec un VPN crypté est de partager la connexion VPN via un point d