Comment vérifier lauthenticité du logiciel Windows à laide de signatures numériques

Chaque fois que vous téléchargez un programme sur Internet, vous êtes obligé de croire au développeur qu'il ne s'agit pas d'un malware. Pas d'autre chemin. Mais généralement, cela ne pose pas de problème, en particulier avec les développeurs et logiciels célèbres.

Cependant, les sites Web hébergeant des logiciels sont plus vulnérables aux attaques. Les attaquants peuvent compromettre la sécurité d'un site Web et remplacer les programmes par des versions malveillantes. La version malveillante ressemble et fonctionne exactement comme l’original, sauf qu’elle comporte une porte dérobée insérée. Grâce à cette porte dérobée, un attaquant peut contrôler différentes parties de l’ordinateur. Votre ordinateur sera inséré dans un botnet ou pire, le malware attendra que vous utilisiez votre carte de crédit/débit et vole vos informations de connexion. Vous devez être particulièrement prudent lorsque vous téléchargez des logiciels importants tels que des systèmes d'exploitation, des portefeuilles de crypto-monnaie ou d'autres logiciels similaires.

Instructions pour authentifier le logiciel Windows à l'aide de signatures numériques

• Les signatures numériques peuvent vous protéger de nos jours
• Comment utiliser Gpg4win pour vérifier les signatures numériques
• Confirmer la somme de contrôle du fichier
• Vérifiez la signature du fichier de la liste de contrôle
• Entrez la clé publique du développeur

Les signatures numériques peuvent vous protéger de nos jours

Les auteurs de logiciels peuvent « signer » leurs produits. À moins qu’un attaquant ne puisse voler la clé privée de l’auteur du logiciel, personne n’a aucun moyen de falsifier cette signature. Il existe de nombreux cas où des milliers d'utilisateurs ont téléchargé des programmes malveillants et dans presque tous les cas, s'ils avaient vérifié les signatures numériques, ils auraient remarqué qu'elles n'étaient pas valides et la situation aurait pu être évitée. Il est relativement facile de remplacer un logiciel sur un site Web vulnérable, mais extrêmement difficile de voler une clé privée correctement stockée et isolée de l'accès à Internet.

Vous pouvez en savoir plus sur les signatures numériques dans l'article : Comment vérifier l'authenticité d'un logiciel Linux à l'aide de signatures numériques . Cet article traite de la même chose, sauf que vous utiliserez les utilitaires Windows pour authentifier les téléchargements.

Comment utiliser Gpg4win pour vérifier les signatures numériques

Téléchargez et installez Gpg4win . Les gens intelligents se demanderont comment savoir avec certitude que ce logiciel est légitime. C'est une bonne question et si cette page de téléchargement est cassée, alors toutes les étapes qui suivront seront vaines.

Heureusement, le développeur Gpg4win s'est donné beaucoup de mal pour faire signer son logiciel par une autorité de certification et détaille les étapes pour vérifier son programme sur le site Web. Bien que la même cryptographie soit utilisée pour vérifier la validité, la méthode globale sera différente. Des certificats numériques sont utilisés à cet effet.

Confirmer la somme de contrôle du fichier

Disons que vous souhaitez télécharger le portefeuille Bitcoin Core . Téléchargez le fichier exécutable Windows x64 ( exe , pas zip ). Ensuite, cliquez sur « Vérifier les signatures de version » pour télécharger le fichier SHA256SUMS.asc. La première étape consiste à vérifier le hachage du fichier d'installation.

Allez dans le dossier de téléchargement et avec Gpg4win installé, vous pouvez maintenant cliquer avec le bouton droit sur un fichier et un nouveau menu contextuel apparaîtra. Faites un clic droit sur le fichier d'installation Bitcoin ( exe que vous avez téléchargé) et sélectionnez Plus d'options GpgEX > Créer des sommes de contrôle , comme dans l'image ci-dessous.

Ouvrez les fichiers sha256sum.txt créés et téléchargés SHA256SUMS.asc . Comparez la somme de contrôle SHA256 et elles devraient être identiques.

Vérifiez la signature du fichier de la liste de contrôle

Même si vous venez de télécharger le fichier d'installation et la liste de somme de contrôle à partir du même site Web, si un attaquant remplace le fichier d'installation, il peut également facilement remplacer la liste de somme de contrôle. Cependant, les pirates ne peuvent pas falsifier les signatures. Cela peut être confirmé par une clé publique connue (légitime). Tout d’abord, vous devez télécharger cette clé.

L'image de signature ressemble à ceci :

Il s'agit d'une signature en ligne (incluse dans le même fichier qu'elle valide). Parfois, cette signature sera séparée et placée dans un fichier séparé. Si vous modifiez une seule lettre dans ce fichier texte, la signature ne sera plus valide. C'est un moyen de savoir avec certitude que le développeur a approuvé et signé ces actifs précis et spécifiques avec la somme de contrôle correcte.

Entrez la clé publique du développeur

Vous disposez des clés publiques disponibles en téléchargement dans la section « Bitcoin Core Release Signing Keys » sur la page de téléchargement de Bitcoin. Par précaution, vous pouvez les télécharger depuis une autre source. Si l'attaquant remplace les clés légitimes par sa clé privée, vous trouverez les bonnes clés (et empreintes digitales) dans tous les autres endroits où elles ont été publiées ou discutées.

Faites un clic droit sur SHA256SUMS.asc et sélectionnez Décrypter et vérifier . Le programme vous dira que vous n'avez pas de clé publique. Cliquez sur Rechercher.

La recherche peut prendre un certain temps. Notez la chaîne dans le champ Rechercher.

Vous pouvez copier et coller dans Google pour voir les empreintes digitales de clé publique qui ont été discutées sur des sites Web ou des forums légitimes. Plus vous trouvez cette clé publique à d’endroits, plus vous pouvez être sûr qu’elle appartient au propriétaire légitime.

Cliquez sur la clé puis entrez-la. Vous pouvez cliquer sur Non dans l'invite que vous recevrez ensuite (prendre des mesures pour confirmer la clé), si vous ne savez pas comment ou si vous ne souhaitez pas le faire pour le moment.

Enfin, cliquez sur Afficher le journal d'audit .

Vous verrez le texte de bonne signature mis en évidence dans l’image suivante.

Essayez de modifier une seule lettre dans SHA256SUMS.asc et vous obtiendrez le résultat comme illustré dans l'image suivante.

Très peu de développeurs vous donnent la possibilité de vérifier si le logiciel vient de chez eux. Mais généralement, les programmes qui gèrent des données sensibles ou très importantes vous proposeront cette option. Utilisez l’option de vérification de la signature numérique et cela pourrait vous éviter des ennuis un jour.

J'espère que vous réussirez.