Qu’est-ce qu’un certificat de signature de code et pourquoi signer du code ?

Un certificat de signature de code est un certificat numérique contenant certaines informations permettant d’identifier une personne ou une organisation, et qui a été émis par une Autorité de Certification. Celui-ci permet aux développeurs d’inclure dans leurs applications ou leurs programmes des informations sur eux-mêmes, ainsi que de créer une signature numérique (signer du code).

Un certificat numérique lie une organisation à une clé publique, elle-même reliée à une clé privée correspondante. La clé privée est utilisée pour appliquer la signature numérique à une version courte du code exécuté à travers un algorithme de hachage, et la clé publique pour vérifier la signature. Signer le hash d’un code permet de détecter si ce dernier a subi des modifications depuis sa signature. Changer le moindre caractère dans une ligne de code modifie le hash, engendrant la suspicion.

Il faut d’ailleurs savoir qu’un programme qui n’a pas été signé peut être facilement modifié (en implantant notamment un malware, un spyware ou tout autre code malveillant avant distribution). Utiliser un code non signé peut s’avérer très dangereux pour un utilisateur final et générera de fait des messages d’alerte de la part des logiciels de sécurité installés sur leurs terminaux. La signature numérique permet au code d’être protégé de ces attaques et aux utilisateurs d’être assurés de l’identité du développeur et de l’intégrité du contenu du programme. Les messages qu’émettront leurs solutions de sécurité ne seront alors plus des messages d’alerte, mais bien des messages de confirmation affichant le nom de l’éditeur, prouvant que le programme provient bien d’une source vérifiée.

La solution Code Signing de GlobalSign :

Les signatures de code Code Signing de GlobalSign permettent aux développeurs de signer numériquement un nombre illimité d’applications qu’ils vont ensuite distribuer sur Internet, ainsi que d’y apposer un sceau d’horodatage afin d’empêcher l’expiration de la signature. Ce processus de signature numérique est l’équivalent virtuel de l’emballage plastique pour les programmes distribués sous forme de CD.

Ainsi, un développeur qui signe le code de son programme instaure la confiance avec l’utilisateur final, en garantissant que le programme est légitime, conforme au développement initial, et que le code n’a subi aucune altération entre sa création et sa publication. Les certificats Code Signing garantissent l’authenticité, la sécurité et l’intégrité d’un programme signé, et vont ainsi apporter un niveau de confiance supplémentaire au processus d’installation, réduisant considérablement le nombre d’abandons de téléchargements de programmes.

En plus de pouvoir être utilisée sur toutes les plateformes, la solution prend en charge les différents formats du marché :
les fichiers Microsoft Authenticode (32 et 64 bits)
Windows Kernel
les macros Microsoft Office et vos applications VBA
les objets Mozilla et Netscape
Contrôles ActiveX
les applications Java
les applications Adobe Air