Chaque fois que vous téléchargez un programme sur Internet, vous êtes obligé de croire au développeur qu'il ne s'agit pas d'un malware. Pas d'autre chemin. Mais généralement, cela ne pose pas de problème, en particulier avec les développeurs et logiciels célèbres.
Cependant, les sites Web hébergeant des logiciels sont plus vulnérables aux attaques. Les attaquants peuvent compromettre la sécurité d'un site Web et remplacer les programmes par des versions malveillantes. La version malveillante ressemble et fonctionne exactement comme l’original, sauf qu’elle comporte une porte dérobée insérée. Grâce à cette porte dérobée, un attaquant peut contrôler différentes parties de l’ordinateur. Votre ordinateur sera inséré dans un botnet ou pire, le malware attendra que vous utilisiez votre carte de crédit/débit et vole vos informations de connexion. Vous devez être particulièrement prudent lorsque vous téléchargez des logiciels importants tels que des systèmes d'exploitation, des portefeuilles de crypto-monnaie ou d'autres logiciels similaires.
Instructions pour authentifier le logiciel Windows à l'aide de signatures numériques
Les auteurs de logiciels peuvent « signer » leurs produits. À moins qu’un attaquant ne puisse voler la clé privée de l’auteur du logiciel, personne n’a aucun moyen de falsifier cette signature. Il existe de nombreux cas où des milliers d'utilisateurs ont téléchargé des programmes malveillants et dans presque tous les cas, s'ils avaient vérifié les signatures numériques, ils auraient remarqué qu'elles n'étaient pas valides et la situation aurait pu être évitée. Il est relativement facile de remplacer un logiciel sur un site Web vulnérable, mais extrêmement difficile de voler une clé privée correctement stockée et isolée de l'accès à Internet.
Vous pouvez en savoir plus sur les signatures numériques dans l'article : Comment vérifier l'authenticité d'un logiciel Linux à l'aide de signatures numériques . Cet article traite de la même chose, sauf que vous utiliserez les utilitaires Windows pour authentifier les téléchargements.
Téléchargez et installez Gpg4win . Les gens intelligents se demanderont comment savoir avec certitude que ce logiciel est légitime. C'est une bonne question et si cette page de téléchargement est cassée, alors toutes les étapes qui suivront seront vaines.
Heureusement, le développeur Gpg4win s'est donné beaucoup de mal pour faire signer son logiciel par une autorité de certification et détaille les étapes pour vérifier son programme sur le site Web. Bien que la même cryptographie soit utilisée pour vérifier la validité, la méthode globale sera différente. Des certificats numériques sont utilisés à cet effet.
Disons que vous souhaitez télécharger le portefeuille Bitcoin Core . Téléchargez le fichier exécutable Windows x64 ( exe , pas zip ). Ensuite, cliquez sur « Vérifier les signatures de version » pour télécharger le fichier SHA256SUMS.asc. La première étape consiste à vérifier le hachage du fichier d'installation.
Allez dans le dossier de téléchargement et avec Gpg4win installé, vous pouvez maintenant cliquer avec le bouton droit sur un fichier et un nouveau menu contextuel apparaîtra. Faites un clic droit sur le fichier d'installation Bitcoin ( exe que vous avez téléchargé) et sélectionnez Plus d'options GpgEX > Créer des sommes de contrôle , comme dans l'image ci-dessous.
Ouvrez les fichiers sha256sum.txt créés et téléchargés SHA256SUMS.asc . Comparez la somme de contrôle SHA256 et elles devraient être identiques.
Même si vous venez de télécharger le fichier d'installation et la liste de somme de contrôle à partir du même site Web, si un attaquant remplace le fichier d'installation, il peut également facilement remplacer la liste de somme de contrôle. Cependant, les pirates ne peuvent pas falsifier les signatures. Cela peut être confirmé par une clé publique connue (légitime). Tout d’abord, vous devez télécharger cette clé.
L'image de signature ressemble à ceci :
Il s'agit d'une signature en ligne (incluse dans le même fichier qu'elle valide). Parfois, cette signature sera séparée et placée dans un fichier séparé. Si vous modifiez une seule lettre dans ce fichier texte, la signature ne sera plus valide. C'est un moyen de savoir avec certitude que le développeur a approuvé et signé ces actifs précis et spécifiques avec la somme de contrôle correcte.
Vous disposez des clés publiques disponibles en téléchargement dans la section « Bitcoin Core Release Signing Keys » sur la page de téléchargement de Bitcoin. Par précaution, vous pouvez les télécharger depuis une autre source. Si l'attaquant remplace les clés légitimes par sa clé privée, vous trouverez les bonnes clés (et empreintes digitales) dans tous les autres endroits où elles ont été publiées ou discutées.
Faites un clic droit sur SHA256SUMS.asc et sélectionnez Décrypter et vérifier . Le programme vous dira que vous n'avez pas de clé publique. Cliquez sur Rechercher.
La recherche peut prendre un certain temps. Notez la chaîne dans le champ Rechercher.
Vous pouvez copier et coller dans Google pour voir les empreintes digitales de clé publique qui ont été discutées sur des sites Web ou des forums légitimes. Plus vous trouvez cette clé publique à d’endroits, plus vous pouvez être sûr qu’elle appartient au propriétaire légitime.
Cliquez sur la clé puis entrez-la. Vous pouvez cliquer sur Non dans l'invite que vous recevrez ensuite (prendre des mesures pour confirmer la clé), si vous ne savez pas comment ou si vous ne souhaitez pas le faire pour le moment.
Enfin, cliquez sur Afficher le journal d'audit .
Vous verrez le texte de bonne signature mis en évidence dans l’image suivante.
Essayez de modifier une seule lettre dans SHA256SUMS.asc et vous obtiendrez le résultat comme illustré dans l'image suivante.
Très peu de développeurs vous donnent la possibilité de vérifier si le logiciel vient de chez eux. Mais généralement, les programmes qui gèrent des données sensibles ou très importantes vous proposeront cette option. Utilisez l’option de vérification de la signature numérique et cela pourrait vous éviter des ennuis un jour.
J'espère que vous réussirez.
Voyez-vous une notification d’activation de Windows 10 dans le coin droit de l’écran ? Cet article vous expliquera comment supprimer l'avis de demande de droit d'auteur sous Windows 10.
Récemment, Microsoft a publié la dernière mise à jour cumulative pour les utilisateurs de PC Windows 10, appelée Build 14393.222. Cette mise à jour publiée pour Windows 10 corrige principalement des bugs basés sur les commentaires des utilisateurs et améliore l'expérience de performances du système d'exploitation.
Avez-vous des ordinateurs sur votre réseau local qui nécessitent un accès externe ? Utiliser un hôte bastion comme gardien de votre réseau peut être une bonne solution.
Si vous préférez utiliser un vieux clavier classique, comme l'IBM Model M, qui n'inclut pas de touche Windows physique, il existe une méthode simple pour en ajouter davantage, en empruntant une touche que vous n'utilisez pas souvent.
Parfois, vous devrez peut-être supprimer d’un seul coup les anciens journaux d’événements. Dans ce guide, Quantrimang.com vous montrera 3 façons de supprimer rapidement tous les journaux d'événements dans l'Observateur d'événements Windows 10.
Dans de nombreux articles précédents, nous avons mentionné qu’il est extrêmement important de rester anonyme en ligne. Des informations privées sont divulguées chaque année, ce qui rend la sécurité en ligne de plus en plus nécessaire. C'est aussi la raison pour laquelle nous devrions utiliser des adresses IP virtuelles. Ci-dessous, nous découvrirons les méthodes pour créer de fausses IP !
WindowTop est un outil qui a la capacité d'atténuer toutes les fenêtres d'application et tous les programmes exécutés sur les ordinateurs Windows 10. Vous pouvez également utiliser une interface à fond sombre sur Windows.
La barre de langue sous Windows 8 est une barre d'outils de langue miniature conçue pour s'afficher automatiquement sur l'écran du bureau. Cependant, de nombreuses personnes souhaitent masquer cette barre de langue dans la barre des tâches.
La connectivité sans fil est aujourd’hui une nécessité et pour cette raison, la sécurité sans fil est essentielle pour garantir la sécurité de votre réseau interne.
Maximiser la vitesse d’Internet est essentiel pour optimiser votre connexion réseau. Vous pouvez vivre une expérience de divertissement et de travail optimale en utilisant des ordinateurs, des téléviseurs connectés à Internet, des consoles de jeux, etc.
