Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Hôtes indésirables

Незваные гости

D'autres publications de cette rubrique (26)
  • Ajouter aux favoris
    Ajouter aux favoris

Autographe numérique

Lu par: 1446 Commentaires: 4 Cote de popularité: 8

Les bases de données virales et les produits Dr.Web ont une signature numérique. Qu'est-ce qu'une signature et à quoi sert-elle ?

Les attaquants essaient de substituer les applications des éditeurs connus ainsi que leurs composants (dans le cas de Dr.Web, il s'agit des bases virales). Ils cherchent par exemple à remplacer une base par une autre base ne comportant pas la signature de leur malware. La signature numérique garantit qu’une application (ou un composant) a été créée par un éditeur connu et qu’elle n’a pas été modifiée après avoir été signée.

Dans toutes les versions de Windows à partir de SP2, au démarrage ou lors de l'installation du logiciel, y compris les pilotes, la présence d'une signature numérique est vérifiée. En cas d'absence de signature, l'utilisateur reçoit une alerte informant que l'éditeur de l'application correspondante est inconnu et que l'exécution de cette application est déconseillée. Si le produit est signé, des informations sur son éditeur et le certificat utilisé seront affichées à l'utilisateur.

#drweb

Pour en savoir plus sur le certificat utilisé, vous pouvez cliquer sur le lien proposé.

#drweb

La procédure de signature consiste à obtenir par l'éditeur le certificat Code Signing, nommé également " le certificat de développeur ".

Ces certificats sont émis par différentes sociétés et varient en fonction de leur but, capacités et coût. Une fois le certificat reçu, il est possible de signer non seulement des fichiers exécutables et des bibliothèques mais également d'autres objets comme des scripts, des macros pour les fichiers MS-Office, des applications Java.

Comment la signature est-elle attribuée et vérifiée ?

Après avoir obtenu le certificat, le développeur calcule le checksum du code signé (hachage), code le résultat obtenu et place le paquet de données contenant le hachage chiffré (et éventuellement d’autres données) dans un fichier avec le code signé. Par exemple, il ajoute les données à la fin du fichier.

Au moment du démarrage ou du chargement de l'application, le système calcule le hachage du code vérifié en utilisant le même algorithme que celui utilisé pour calculer le hachage lors de la signature du fichier. Pour ce faire, la clé publique de l'éditeur est utilisée, cette clé est contenue dans le certificat. Le système effectue un déchiffrement et compare les deux hachages.

Ici, il y a une nuance. Nous avons mentionné ci-dessus que le certificat peut être obtenu auprès d'une société bien connue. Certes, mais rien n’empêche un développeur de créer ses propres certificats et de les utiliser pour signer ses propres fichiers. Cela lui permettra d'assurer l'intégrité de ses fichiers mais cela ne garantira pas du tout que les utilisateurs auront confiance dans l'origine du fichier. Le problème peut être résolu car le certificat est lié à un certificat racine. Le certificat racine est un certificat électronique non signé ou auto-signé qui identifie une autorité de certification (AC).

Les dispositifs d'utilisateur, en règle générale, comprennent les certificats racines des centres de certification. Lorsque le logiciel décrypte la signature numérique, il vérifie également le certificat racine contenu dans le système, qui est une source d'information fiable. Dans le cas où le certificat « auto-signé » est utilisé, vous recevrez le message : " Impossible de vérifier l'éditeur".

#drweb

Comment vérifier quels certificats sont utilisés sur votre appareil ? Vous pouvez consulter cette page (http://pyatilistnik.org/gde-hranyatsya-sertifikatyi-v-windows-sistemah).

On dirait que le problème est résolu. Si toutes les applications populaires sont signées, il suffit de vérifier leur intégrité au démarrage et l’antivirus n’est plus utile. Mais non ! Même si nous ne prenons pas en compte la possibilité de pirater la société spécialisée dans la délivrance des certificats, il s'agit d'une marchandise qui peut être volée et vendue.

Le ransomware Mac.Trojan.KeRanger.2 est signé par example avec le certificat de l'éditeur d'applications pour OS X, ce qui lui a permis de contourner le système de protection embarqué Apple.

http://news.drweb.com/show/?c=5&i=9877&lng=ru

La surveillance des forums illégaux, où se vendent des certificats, nous confirme une triste tendance : les ventes de certificats sont en hausse.

#drweb

Sans doute, les auteurs ont un fournisseur régulier qui a un accès permanent à l'une des cinq autorités de certification les plus connues.

De nouveaux certificats sont en vente toutes les semaines ou toutes les 2 semaines.

https://xakep.ru/2014/10/16/code-signing-sale

Les chercheurs ont constaté que les certificats destinés à signer un code numérique sont vendus sur le marché noir sur le web plus cher que les armes.

La vente d'un certificat peut rapporter à un criminel jusqu'a 1200 dollars américains. Pour comparer : les cartes de crédit peuvent coûter quelques dollars seulement, les passeports américains peuvent rapporter environ 850 dollars, et il est possible d'acheter un pistolet pour 600 $. .

https://www.anti-malware.ru/news/2017-10-31-1447/24615

Les experts sonnent l'alarme.

" Les certificats volés ne laissent preque aucune chance de détecter des logiciels malveillants.", a déclaré Kevin Bocek, vice-président de la stratégie de sécurité et de l'intelligence sur les menaces chez Venafi.

https://www.anti-malware.ru/news/2017-10-31-1447/24615

Dr.Web recommande :

En fait, tout n'est pas si négatif. La signature de certificats n'est heureusement pas la seule méthode de vérification des fichiers. La présence d'une signature est vérifiée par Dr.Web Antivirus lors de l'évaluation des fichiers (car l'antivirus n’est pas uniquement constitué d’une base de données virales), mais comme nous venons de le voir, cette information ne représente pas un gage de sécurité à 100% et dans tous les cas.

Evaluez les publications et recevez des Dr.Webonus ! (1 voix = 1 Dr.Webonus)

Authentifiez-vous et recevez 10 Dr.Webonus pour un lien vers une publication du projet dans un réseau social.

[Twitter]

En raison de limitations techniques liées aux réseaux sociaux Vk et Facebook, nous ne pouvons malheureusement pas vous offrir de DrWebonus. Mais vous pouvez partager gratuitement le lien vers cette publication.

Nous apprécions vos commentaires

10 Dr.Webonus pour un commentaire publié le jour de la sortie d’une news ou 1 Dr.Webonus un autre jour. Les commentaires sont automatiquement publiés et modérés après. Règles de commentaires de news sur le site de Doctor Web.

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs