Have an amazing solution built in RAD Studio? Let us know. Looking for discounts? Visit our Special Offers page!
CodeDelphiNouvelles

Toutes vos applications Windows ressemblent-elles à un virus informatique?

virus hacker

OK, donc vous avez écrit quelque chose de brillant, la prochaine grande chose. Vous adoptez l’approche moderne. Vous avez lu – ou regardé – notre série sur Fluent UI et peut-être même appliqué quelques éléments visuels comme le néo-skeuomorphisme que nous avons appris lors de la conférence Desktop First . Peut-être avez-vous appliqué certains thèmes VCL à votre application et intégré la possibilité de détecter le mode sombre / mode clair de Windows 10 dans votre application Delphi? Tout se passe bien… jusqu’à ce que les utilisateurs essaient d’utiliser vos applications.

inkedannotation 2019 09 19 114909 li 3090339 2
C’est le message que vous recevez lorsque vous exécutez un projet open source très populaire qui compte plus de 100000 téléchargements.

Vous commencez à recevoir des plaintes de vos utilisateurs, car ils ne peuvent pas télécharger votre application. Ou, quand ils parviennent enfin à lutter contre la paranoïa du navigateur Web moderne, votre application est bloquée par Windows 10 ou, plus mystérieusement, disparaît tout simplement dans un nuage bleu de fumée de génie de la politique de groupe d’entreprise.

keep 617x225 9952930 2

Vous n’avez pas fait la dernière étape: signer votre code pour prouver que votre application merveilleusement conçue provient de vous, et seulement de vous, et n’a pas été infectée par un virus informatique ou un cheval de Troie cryptolocker.

Dans le récent TCoffeeAndCode sur le thème de la sécurité, nous avions l’intention de parler de signature de code, mais nous avons été distraits par les nombreuses autres choses de sécurité qui se sont produites. Pour être honnête, nous avons dit que ce n’était pas scénarisé!

Qu’est-ce que la signature de code?

La signature de code est un processus manuel que vous pouvez réaliser juste après ou au moment de la création finale de votre application. Il ajoute une petite ressource à votre exe contenant une signature numérique. La signature identifie qui, en théorie du moins, a écrit le code et ajoute des informations qui prennent une somme de contrôle du fichier exe de votre application. Ces informations – la signature de code – lorsqu’elles sont prises ensemble, signifient que tout utilisateur exécutant vos applications peut être sûr que le fichier exe n’a pas été modifié depuis que vous l’avez créé sur votre ordinateur ou serveur de build. Toute modification de l’exe, par exemple, par un virus, cassera la somme de contrôle cryptographique afin que les utilisateurs puissent dire que quelque chose ne va pas.

annotation 2019 09 19 132057 2885035 2
Une application correctement signée par le code (l’image est ancienne – le certificat afficherait une date d’expiration actuelle)

Fournir des applications via un lien Web nécessite pratiquement une signature de code

La signature de code ne permet pas seulement d’identifier le développeur d’origine, elle joue également un rôle lorsque vos programmes sont téléchargés à partir d’un site Web ou d’un mécanisme de livraison en ligne similaire. La plupart des navigateurs (probablement tous) vous avertiront du téléchargement d’exes à partir d’un site Web, en particulier celui qui n’utilise pas HTTPS. Microsoft Edge et Windows combinés vont un peu plus loin et vous crieront activement si l’exe ne porte pas de signature numérique (une autre façon de dire qu’il n’est pas signé par code).

pexels anete lusina 5240544 9328827 2

Les applications non signées ressemblent à des virus informatiques

Si vos utilisateurs parviennent enfin à sauter à travers tous les différents cerceaux et à obtenir le téléchargement de l’exe sur votre ordinateur, certains d’entre eux peuvent constater que le fichier téléchargé a disparu comme par magie. En effet, il est assez courant pour les réseaux d’entreprise d’appliquer une règle qui stipule que les utilisateurs ne peuvent exécuter que certaines applications de confiance. Aucune signature de code signifie généralement que votre application n’est pas approuvée. Certains vont même plus loin, bien que cela soit moins courant et insistent sur le fait que toutes les applications utilisateur doivent être 64 bits, en particulier les applications côté serveur et les services Windows. Les administrateurs de réseau d’entreprise et le personnel ITSec peuvent être un peu surchargés lorsqu’il s’agit d’appliquer des politiques et d’inciter un groupe d’utilisateurs à se comporter en les empêchant de faire des choses évidentes comme le streaming de torrents,ouverture de pièces jointes douteuses et exécution accidentelle de logiciels malveillants.

Votre application non signée par code? Cela ressemble au pire type de voleur de mot de passe cryptolocking pour eux – et non, ils ne veulent pas déposer leur macachoolie au latte aux amandes supplémentaire avec de la spirelle supplémentaire pour le faire fonctionner pour «vérifier» merci beaucoup.

La signature de code est-elle réservée aux entreprises de premier ordre?

La signature du code est un must si vous souhaitez gagner un revenu grâce à votre code. Mais même si vous êtes un projet open source ou freeware, la signature de code aide vos utilisateurs à s’aider eux-mêmes.

L’époque où il fallait simplement créer un exe, le compresser et le mettre sur un serveur Web est pratiquement révolue. Si c’est ainsi que vous livrez votre logiciel, je déteste être porteur de mauvaises nouvelles: vous êtes dépassé et il est temps de se moderniser. Bientôt, tout un tas de changements dans le mode de fonctionnement de Windows et de nombreuses améliorations de sécurité telles que UAC, HTTPS et la protection de répertoire forcée vont se produire unilatéralement et, dans la plupart des cas, l’ont déjà fait.

Parmi les questions qui me sont posées, la signature de code est probablement le sujet brûlant numéro un, donc je * sais * qu’il y a toute une foule de développeurs qui se rendent compte que la signature de code n’est pas vraiment une activité facultative.

Plus de ressources sur la signature de code

Pour en savoir plus sur les avantages et les inconvénients de la signature de code en tant que sujet, essayez les ressources suivantes:


Ne gaspillez pas votre travail acharné à un gardien de sécurité draconien – il est temps de moderniser et de coder vos applications.

See What's New in 12.2 Athens See What's New in 12.2 Athens Dev Days of Summer 2-24

Reduce development time and get to market faster with RAD Studio, Delphi, or C++Builder.
Design. Code. Compile. Deploy.
Start Free Trial   Upgrade Today

   Free Delphi Community Edition   Free C++Builder Community Edition

Leave a Reply

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

IN THE ARTICLES