Menu Fermer

Signature numérique des fichiers sur Windows et sécurité

Voici quelques explications autour de la signature numérique de fichiers sur Windows.
Un aspect probablement peu connu ou mal compris des internautes.

Cet article vous explique à quoi sert la signature des fichiers et pourquoi il est important de vérifier si un exécutable est signé et par quelle entité.
Enfin vous trouverez donc les explications pour vérifier si un fichier est signé ou non.

Signature numérique des fichiers sur Windows et sécurité

Qu’est-ce que la signature électronique de fichiers ?

La signature numérique de fichiers est assez similaire aux sites sécurisés HTTPs et permet ainsi deux choses :

  • Authenticité : s’assurer de l’émetteur du fichier
  • Intégrité : assure que le fichier n’a pas été modifié. Ainsi dès le fichier signé est modifié la signature du fichiers n’est plus valide

Cette signature et vérification de l’émetteur repose sur le même mécanisme que les sites sécurités.
Une autorité de certification s’assure que l’entreprise qui utilise le certificat est bien la bonne.

Si vous souhaitez comprendre comment la signature électronique fonctionne, suivez l’article : Les certificats et signatures électroniques : A quoi cela sert et comment cela fonctionne

Ce mécanisme de signatures peut-être utilisé dans le cas d’échanges de documents pour s’assurer :

  • de l’authenticité du document
  • et que ce dernier n’a pas été falsifié

Ainsi, il est tout à fait possible de signer des PDF ou documents Office ou OpenOffice.
Dans Windows, il est aussi possible de signer des fichiers exécutables.

Cette signature est tout aussi importante dans le cas d’exécutable car il vous permet d’être sûr que le fichier a bien été émis par une société.
Par exemple, dans le cas de Windows, on peut s’assurer que les fichiers systèmes ne sont pas corrompus.
Bien que pour cela, il existe l’utilitaire SFC.

Ainsi, lorsque vous téléchargez un fichier depuis internet, dans le cas d’un exécutable, vous pouvez être certains de l’émetteur.
Depuis un disque amovible, si le fichier n’est pas signé, vous pouvez être sûr qu’il a été modifié par exemple par un virus ou que la source n’est pas la bonne.

Enfin vous êtes aussi sûr que le fichier n’a pas été modifié ou altéré par un tiers.
Ainsi, un malware n’a pas patché le fichier ou encore le fichier n’est pas corrompu lors d’un téléchargement ou transfert.
Cela est important d’un point de vue sécurité, mais aussi, intégrité du système.
Ainsi, un fichier système n’est pas endommagé pouvant provoquer des instabilités du systèmes et plantages de Windows comme un écran bleu (BSOD).

Comment visualiser la signature numérique

Cette signature numérique est visible lors de l’exécution d’une application sur la ligne Editeur.
Dans le cas du setup de Malwarebytes Anti-Malware (MBAM), on s’assure bien que l’éditeur est Malwarebytes.

Visualiser la signature numérique

La plupart des fichiers systèmes de Windows sont signés par Microsoft.

Visualiser la signature numérique

Ici on parle d’exécutable signés mais cela concerne aussi les pilotes et drivers (.sys).

Éditeur inconnu et blocage du contrôle de compte d’utilisateur

Le contrôle du compte utilisateur (UAC) est en charge de vérifier la signature de fichiers lors de son exécution.
Celui-ci peut alors afficher une alerte avec différents codes couleurs selon si le fichier est signé, inconnu.

Lorsque le service de chiffrement de Windows ne fonctionne pas correctement.
Ce dernier ne peut vérifier l’éditeur et dans certains cas bloquer l’exécution.
Ci-dessous, le programme regedit avec un éditeur inconnu alors qu’en temps normal, on doit avoir Microsoft.

Éditeur inconnu et blocage de la protection
Éditeur inconnu et blocage de la protection

Enfin pire ci-dessous, le programme est bloqué par la protection car l’éditeur ne peut-être vérifié.

Éditeur inconnu et blocage de la protection

Windows 11 22H2 apporte une dimension supplémentaire avec la protection intelligente des applications. Reportez vous à la fin de cet article.

Comment vérifier la signature numérique d’un fichier sur Windows

Voici une façon simple de vérifier si un fichier est signé :

  • Faites un clic droit sur le fichier puis Propriétés
  • Cliquez sur l’onglet Signature numérique (1). Si cet onglet n’est pas présent alors le fichier n’est pas signé.
  • Le bouton détails permet d’afficher les informations sur la signature électronique de fichiers (2).
  • Enfin en cliquant sur Afficher le certificat, on obtient les informations du certificat (3) et la chaîne de certification.
Comment vérifier la signature de fichiers ?

Lorsque le fichier n’est pas signé, aucun onglet signature numérique de fichiers n’est alors présent.

Enfin on peut vérifier les fichiers systèmes et pilotes systèmes de Windows.
L’article suivant explique comment faire.

Comment vérifier la signature numérique des fichiers systèmes et pilotes de Windows

La sécurité et les malwares autour de la signature électronique de fichiers

Si vous avez compris le fonctionnement de la signature électronique de fichiers : cela permet de s’assurer de l’émetteur.
Dans le cas d’un fichier malveillant, ce dernier ne peut-être signé puisque les autorités de certificats ne vont pas délivrer de certificat à des cybercriminels.
Ainsi, les antivirus ont tendance à flaguer en malveillant à travers des détections heuristiques et génériques des fichiers non signés.

Les codeurs peuvent donc selon l’activité de leurs applications retrouver leurs programmes détectés par les antivirus.
C’est ce qui arrivé par le passé aux applications comme RogueKiller, AdwCleaner etc, du temps où ces derniers n’étaient pas signés numériquement.
Ainsi lors du téléchargement de fichiers, les protections telles que SmartScreen ou Google SafeBrowsing peuvent aussi bloquer des exécutables non signés.

Deux aspects à prendre en compte.
Les éditeurs de PUPs et Adwares sont des entreprises, ces dernières peuvent signer leur fichier.
COMODO est très utilisé pour signer des installeurs de PUPs.
Ci-dessous, un crack signé qui s’avère être une plateforme de PUPs :

La sécurité et les malwares autour de la signature de fichiers

Le second aspect, les cybercriminels cherchent à proposer des trojan avec des fichiers signés.
Pour cela :

  • ils peuvent voler les certificats afin de signer des fichiers malveillants. Dans ce cas le pirate peut produire plusieurs malwares avec le même certificat
  • créer de fausses entités afin d’obtenir des certifications

Comme il y a de la demande, il existe des services de ventes de certificats dans le monde de l’underground.
Plus d’informations sur la page : Business malwares : le Pourquoi des infections informatique

La sécurité et les malwares autour de la signature de fichiers

Beaucoup de fichiers signés ont pu être mis en ligne afin d’infecter les internautes.

La sécurité et les malwares autour de la signature de fichiers

Les autres utilisations de la signature de fichiers dans Windows

Signature et pilotes dans Windows

Depuis Windows 8, l’OS interdit l’installation de pilotes non signé afin de limiter la prolifération des rootkit kernel-mode.
En effet, les rootkits kernel-mode utilisent des pilotes pour accéder au noyau Windows.
Pour limiter ces derniers, Windows interdit l’installation de pilotes non signés.

Dans certains cas cela peut poser des problèmes comme des BSOD.
Vous pouvez désactiver la signature, pour se faire, suivre cet article : Désactiver la signature numérique des pilotes sur Windows 7, 8 ou 10

Le Secure Boot

L’UEFI apporte un nouveau mécanisme de sécurité : Le Secure Boot.
Ce dernier ne permet de booter que sur des firmwares UEFI signés.
Là aussi donc on s’appuie sur la signature électronique afin de protéger le démarrage du PC et offrir un démarrage sécurisé.

L’article suivant donne les mécanismes de sécurité de l’UEFI.

Le contrôle intelligent des applications de Windows 11 (Smart App Control)

Le contrôle intelligent des applications est une protection apparue dans Windows 11 22H2.
Elle visent à bloquer l’exécution d’application et de fichiers non signés.

Grâce à l’IA, le contrôle intelligent des applications ne permet l’exécution que des processus dont la sécurité est prédite, sur la base des renseignements existants et nouveaux traités quotidiennement.
Smart App Control s’appuie sur la même IA basée sur le cloud utilisée dans Windows Defender Application Control (WDAC) pour prédire la sécurité d’une application, de sorte que les gens peuvent être sûrs qu’ils utilisent des applications sûres et fiables sur leurs nouveaux appareils Windows.
De plus, les fichiers de script et les macros inconnus provenant du Web sont bloqués, ce qui améliore considérablement la sécurité des utilisateurs quotidiens lorsqu’ils utilisent Internet.

Le contrôle intelligent des applications a bloqué cette application