Lumières sur la sécurité

mardi 28 novembre 2017

Les bases de données virales et les produits Dr.Web ont une signature numérique. Qu'est-ce qu'une signature et à quoi sert-elle ?

Les attaquants essaient de substituer les applications des éditeurs connus ainsi que leurs composants (dans le cas de Dr.Web, il s'agit des bases virales). Ils cherchent par exemple à remplacer une base par une autre base ne comportant pas la signature de leur malware. La signature numérique garantit qu’une application (ou un composant) a été créée par un éditeur connu et qu’elle n’a pas été modifiée après avoir été signée.

Dans toutes les versions de Windows à partir de SP2, au démarrage ou lors de l'installation du logiciel, y compris les pilotes, la présence d'une signature numérique est vérifiée. En cas d'absence de signature, l'utilisateur reçoit une alerte informant que l'éditeur de l'application correspondante est inconnu et que l'exécution de cette application est déconseillée. Si le produit est signé, des informations sur son éditeur et le certificat utilisé seront affichées à l'utilisateur.

Pour en savoir plus sur le certificat utilisé, vous pouvez cliquer sur le lien proposé.

La procédure de signature consiste à obtenir par l'éditeur le certificat Code Signing, nommé également " le certificat de développeur ".

Ces certificats sont émis par différentes sociétés et varient en fonction de leur but, capacités et coût. Une fois le certificat reçu, il est possible de signer non seulement des fichiers exécutables et des bibliothèques mais également d'autres objets comme des scripts, des macros pour les fichiers MS-Office, des applications Java.

Comment la signature est-elle attribuée et vérifiée ?

Après avoir obtenu le certificat, le développeur calcule le checksum du code signé (hachage), code le résultat obtenu et place le paquet de données contenant le hachage chiffré (et éventuellement d’autres données) dans un fichier avec le code signé. Par exemple, il ajoute les données à la fin du fichier.

Au moment du démarrage ou du chargement de l'application, le système calcule le hachage du code vérifié en utilisant le même algorithme que celui utilisé pour calculer le hachage lors de la signature du fichier. Pour ce faire, la clé publique de l'éditeur est utilisée, cette clé est contenue dans le certificat. Le système effectue un déchiffrement et compare les deux hachages.

Ici, il y a une nuance. Nous avons mentionné ci-dessus que le certificat peut être obtenu auprès d'une société bien connue. Certes, mais rien n’empêche un développeur de créer ses propres certificats et de les utiliser pour signer ses propres fichiers. Cela lui permettra d'assurer l'intégrité de ses fichiers mais cela ne garantira pas du tout que les utilisateurs auront confiance dans l'origine du fichier. Le problème peut être résolu car le certificat est lié à un certificat racine. Le certificat racine est un certificat électronique non signé ou auto-signé qui identifie une autorité de certification (AC).

Les dispositifs d'utilisateur, en règle générale, comprennent les certificats racines des centres de certification. Lorsque le logiciel décrypte la signature numérique, il vérifie également le certificat racine contenu dans le système, qui est une source d'information fiable. Dans le cas où le certificat « auto-signé » est utilisé, vous recevrez le message : " Impossible de vérifier l'éditeur".

Comment vérifier quels certificats sont utilisés sur votre appareil ? Vous pouvez consulter cette page (http://pyatilistnik.org/gde-hranyatsya-sertifikatyi-v-windows-sistemah).

On dirait que le problème est résolu. Si toutes les applications populaires sont signées, il suffit de vérifier leur intégrité au démarrage et l’antivirus n’est plus utile. Mais non ! Même si nous ne prenons pas en compte la possibilité de pirater la société spécialisée dans la délivrance des certificats, il s'agit d'une marchandise qui peut être volée et vendue.

Les experts sonnent l'alarme.

" Les certificats volés ne laissent preque aucune chance de détecter des logiciels malveillants.", a déclaré Kevin Bocek, vice-président de la stratégie de sécurité et de l'intelligence sur les menaces chez Venafi.

https://www.anti-malware.ru/news/2017-10-31-1447/24615