Signature numérique des fichiers sur Windows et sécurité

Voici quelques explications autour de la signature numérique de fichiers sur Windows, un aspect probable peu connu des internautes.
Cet article vous explique à quoi sert la signature des fichiers et pourquoi il est important de vérifier si un exécutable est signé et par qui.
Vous trouverez donc les explications pour vérifier si un fichier est signé ou non.

Qu’est-ce que la signature de fichiers ?

La signature numérique de fichiers est assez similaire aux sites sécurisés HTTPs et permet essentiellement deux choses :

  • Authenticité : s’assurer de l’émetteur du fichier
  • Intégrité : que ce dernier n’a pas été modifié. Dès lorsque le fichier est modifié la signature du fichiers n’est plus présente.

Cette signature et vérification de l’émetteur repose sur le même mécanisme que les sites sécurités.
Une autorité de certification s’assure que l’entreprise qui utilise le certificat est bien la bonne.

Ce mécanisme de signatures peut-être utilisé dans le cas d’échanges de documents pour s’assurer de l’authenticité du document et que ce dernier n’a pas été falsifié.
Ainsi, il est tout à fait possible de signer des PDF ou documents Office / OpenOffice.
Dans Windows, il est aussi possible de signer des fichiers exécutables.

Cette signature est tout aussi importante dans le cas d’exécutable, car il vous permet d’être sûr que le fichier a bien été émis par une société.
Par exemple, dans le cas de Windows, on peut s’assurer que les fichiers systèmes ne sont pas corrompus.
Bien que pour cela, il existe l’utilitaire SFC.

Ainsi, lorsque vous téléchargez un fichier depuis internet, dans le cas d’un exécutable, vous pouvez être certains de l’émetteur.
Depuis un disque amovible, si le fichier n’est pas signé, vous pouvez être sûr qu’il a été modifié par exemple par un virus ou que la source n’est pas la bonne.

Cette signature numérique est visible lors de l’exécution d’une application sur la ligne Editeur.
Dans le cas du setup de Malwarebytes Anti-Malware (MBAM), on s’assure bien que l’éditeur est Malwarebytes.

Qu'est-ce que la signature de fichiers ?

La plupart des fichiers systèmes de Windows sont signés par Microsoft.

Ici on parle d’exécutable signés mais cela est aussi utilisés pour les pilotes et drivers (.sys).
Depuis Windows 8, la signature des pilotes utilisée pour interdire l’installation de pilotes non signé, notamment afin de limiter les rootkit kernel-mode.
Cette interdiction peut être levée, se reporter alors sur la page : Comment désactiver la signature numérique des pilotes sur Windows 7, 8 ou 10

Comment vérifier la signature de fichiers ?

Comme souvent, il existe plusieurs méthodes.
Voici quelques unes.

Propriétés du fichier

Vous pouvez vérifier la signature de fichiers depuis les propriétés du fichiers en faisant un clic droit puis propriétés.
Si le fichier est signé, un onglet signature numérique est présent.
En cliquant dessus l’éditeur du fichier apparaît (1), le bouton détails permet d’afficher les informations sur la signature de fichiers (2).
Enfin en cliquant sur Afficher le certificat, on obtient les informations du certificat (3) et la chaîne de certification.

Comment vérifier la signature de fichiers ?

Si le fichier n’est pas signé, aucun onglet signature de fichiers n’est alors présent.

Comment vérifier la signature de fichiers ?

VirusTotal

VirusTotal vérifie la signature numérique des fichiers et l’affichent dans les détails.
Exemple ci-dessous avec un crack signé par DownloadAssistant, une plateforme de PUPs.

Comment vérifier la signature de fichiers ?

Utilitaires de vérification de signatures de fichiers

et bien entendu, il existe quelques utilitaires pour vérifier la signatures de fichiers :

Comment vérifier la signature de fichiers ?

La sécurité et les malwares autour de la signature de fichiers

Si vous avez compris le fonctionnement de la signature de fichiers, vous aurez compris que cela permet de s’assurer de l’émetteur.
Dans le cas d’un fichier malveillant, ce dernier ne peut-être signé puisque les autorités de certificats ne vont pas délivrer de certificat à des cybercriminels.
Ainsi, les antivirus ont tendance à flaguer en malveillant à travers des détections heuristiques et génériques des fichiers non signés.
Les codeurs peuvent donc, selon l’activité de leurs applications, retrouver leurs programmes détectés par les antivirus.
C’est ce qui arrivé par le passé aux applications comme RogueKiller, AdwCleaner etc, du temps où ces derniers n’étaient pas signés numériquement.
Lors du téléchargement de fichiers, les protections telles que SmartScreen ou Google SafeBrowsing peuvent aussi bloquer des exécutables non signés.

Deux aspects à prendre en compte… Les éditeurs de PUPs et Adwares sont des entreprises, ces dernières peuvent signer leur fichier.
COMODO est très utilisé pour signer des installeurs de PUPs.
Ci-dessous, un crack signé qui s’avère être une plateforme de PUPs :

La sécurité et les malwares autour de la signature de fichiers

Même chose avec cet installeur DownloadAssistant signé par COMODO : https://www.virustotal.com/#/file/2a9933214675ac2edb15e32111c97a9c8811e11bf3bc016834b8b4482bf6e9c0/details

Le second aspect, les cybercriminels cherchent à proposer des trojan sur des fichiers signés.
Pour cela :

  • ils peuvent voler les certificats afin de pouvoir signer leurs fichiers.
  • créer de fausses entités afin d’obtenir des certifications

Comme il y a de la demande, il existe des services de ventes de certificats dans le monde de l’underground.
Plus d’informations sur la page : Business malwares : le Pourquoi des infections informatique

La sécurité et les malwares autour de la signature de fichiers

Beaucoup de fichiers signés ont pu être mis régulièrement en ligne afin d’infecter les internautes.
Plus de détails sur notre article : Signature numérique et malware

La sécurité et les malwares autour de la signature de fichiers

(Visité 158 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet