OK, donc vous avez écrit quelque chose de brillant, la prochaine grande chose. Vous adoptez l’approche moderne. Vous avez lu – ou regardé – notre série sur Fluent UI et peut-être même appliqué quelques éléments visuels comme le néo-skeuomorphisme que nous avons appris lors de la conférence Desktop First . Peut-être avez-vous appliqué certains thèmes VCL à votre application et intégré la possibilité de détecter le mode sombre / mode clair de Windows 10 dans votre application Delphi? Tout se passe bien… jusqu’à ce que les utilisateurs essaient d’utiliser vos applications.
Vous commencez à recevoir des plaintes de vos utilisateurs, car ils ne peuvent pas télécharger votre application. Ou, quand ils parviennent enfin à lutter contre la paranoïa du navigateur Web moderne, votre application est bloquée par Windows 10 ou, plus mystérieusement, disparaît tout simplement dans un nuage bleu de fumée de génie de la politique de groupe d’entreprise.
Vous n’avez pas fait la dernière étape: signer votre code pour prouver que votre application merveilleusement conçue provient de vous, et seulement de vous, et n’a pas été infectée par un virus informatique ou un cheval de Troie cryptolocker.
Dans le récent TCoffeeAndCode sur le thème de la sécurité, nous avions l’intention de parler de signature de code, mais nous avons été distraits par les nombreuses autres choses de sécurité qui se sont produites. Pour être honnête, nous avons dit que ce n’était pas scénarisé!
Table of Contents
Qu’est-ce que la signature de code?
La signature de code est un processus manuel que vous pouvez réaliser juste après ou au moment de la création finale de votre application. Il ajoute une petite ressource à votre exe contenant une signature numérique. La signature identifie qui, en théorie du moins, a écrit le code et ajoute des informations qui prennent une somme de contrôle du fichier exe de votre application. Ces informations – la signature de code – lorsqu’elles sont prises ensemble, signifient que tout utilisateur exécutant vos applications peut être sûr que le fichier exe n’a pas été modifié depuis que vous l’avez créé sur votre ordinateur ou serveur de build. Toute modification de l’exe, par exemple, par un virus, cassera la somme de contrôle cryptographique afin que les utilisateurs puissent dire que quelque chose ne va pas.
Fournir des applications via un lien Web nécessite pratiquement une signature de code
La signature de code ne permet pas seulement d’identifier le développeur d’origine, elle joue également un rôle lorsque vos programmes sont téléchargés à partir d’un site Web ou d’un mécanisme de livraison en ligne similaire. La plupart des navigateurs (probablement tous) vous avertiront du téléchargement d’exes à partir d’un site Web, en particulier celui qui n’utilise pas HTTPS. Microsoft Edge et Windows combinés vont un peu plus loin et vous crieront activement si l’exe ne porte pas de signature numérique (une autre façon de dire qu’il n’est pas signé par code).
Les applications non signées ressemblent à des virus informatiques
Si vos utilisateurs parviennent enfin à sauter à travers tous les différents cerceaux et à obtenir le téléchargement de l’exe sur votre ordinateur, certains d’entre eux peuvent constater que le fichier téléchargé a disparu comme par magie. En effet, il est assez courant pour les réseaux d’entreprise d’appliquer une règle qui stipule que les utilisateurs ne peuvent exécuter que certaines applications de confiance. Aucune signature de code signifie généralement que votre application n’est pas approuvée. Certains vont même plus loin, bien que cela soit moins courant et insistent sur le fait que toutes les applications utilisateur doivent être 64 bits, en particulier les applications côté serveur et les services Windows. Les administrateurs de réseau d’entreprise et le personnel ITSec peuvent être un peu surchargés lorsqu’il s’agit d’appliquer des politiques et d’inciter un groupe d’utilisateurs à se comporter en les empêchant de faire des choses évidentes comme le streaming de torrents,ouverture de pièces jointes douteuses et exécution accidentelle de logiciels malveillants.
Votre application non signée par code? Cela ressemble au pire type de voleur de mot de passe cryptolocking pour eux – et non, ils ne veulent pas déposer leur macachoolie au latte aux amandes supplémentaire avec de la spirelle supplémentaire pour le faire fonctionner pour «vérifier» merci beaucoup.
La signature de code est-elle réservée aux entreprises de premier ordre?
La signature du code est un must si vous souhaitez gagner un revenu grâce à votre code. Mais même si vous êtes un projet open source ou freeware, la signature de code aide vos utilisateurs à s’aider eux-mêmes.
L’époque où il fallait simplement créer un exe, le compresser et le mettre sur un serveur Web est pratiquement révolue. Si c’est ainsi que vous livrez votre logiciel, je déteste être porteur de mauvaises nouvelles: vous êtes dépassé et il est temps de se moderniser. Bientôt, tout un tas de changements dans le mode de fonctionnement de Windows et de nombreuses améliorations de sécurité telles que UAC, HTTPS et la protection de répertoire forcée vont se produire unilatéralement et, dans la plupart des cas, l’ont déjà fait.
Parmi les questions qui me sont posées, la signature de code est probablement le sujet brûlant numéro un, donc je * sais * qu’il y a toute une foule de développeurs qui se rendent compte que la signature de code n’est pas vraiment une activité facultative.
Plus de ressources sur la signature de code
Pour en savoir plus sur les avantages et les inconvénients de la signature de code en tant que sujet, essayez les ressources suivantes:
- Mon propre article de blog sur la signature de code qui décrit en détail les différents types de signature de code et où obtenir des certificats de signature de code très rentables ainsi que des exemples d’écrans: https://www.codedotshow.com/blog/delphi -10-3-rio-code-signature-provisioning-et-le-Microsoft-App-Store /
- Le très bon article de Wikipedia contient une bonne vue d’ensemble des avantages de la signature de code: https://en.wikipedia.org/wiki/Code_signing
- Un article présentant un autre aperçu des avantages de la signature de code est disponible sur ce lien: https://www.encryptionconsulting.com/code-signing-top-5-benefits/ et ici https://www.globalsign.com / fr / blog / the-importance-of-code-signed-redux NOTEZ que ces deux liens ont quelque chose à vous vendre, alors gardez cela à l’esprit, mais leurs descriptions et prémisses sont suffisantes.
Ne gaspillez pas votre travail acharné à un gardien de sécurité draconien – il est temps de moderniser et de coder vos applications.
Design. Code. Compile. Deploy.
Start Free Trial Upgrade Today
Free Delphi Community Edition Free C++Builder Community Edition
