Thales background banner

Solutions de sécurité des clés de la signature de code

Fonctionnement de la signature de code

code-signing-icon

La signature de code a émergé comme un élément essentiel des affaires de pratiquement toutes les organisations qui distribuent du code à leurs clients et leurs partenaires.

La signature de code vérifie l’identité de l’éditeur d’un ensemble de code spécifique et atteste du fait que le code n’a pas été modifié après sa signature.

Les certificats fournis avec le logiciel signé sont un indicateur essentiel permettant aux utilisateurs de déterminer si le logiciel provient d’une source légitime avant l’installation.

Aujourd’hui, la majorité des acteurs du marché des logiciels, notamment les boutiques d’applications mobiles, doivent mettre leur code en conformité aux exigences spécifiques en matière de signature numérique. 

Quel que soit le cas d’utilisation, la sécurité des clés privées doit être utilisée pour que les certificats de signature de code puissent être considérés comme fiables et valorisés.

Ressources de signature de code :

étude de cas

Egg Bank - ViewPIN+ – Étude de cas

La plus grande banque en ligne mondiale émet des codes PIN en ligne pour faire des économies, réduire la fraude et améliorer l’expérience des clients grâce à la gestion Web des codes PIN primée de Thales : ViewPIN+...

Architectures de signature de code

signature de code

Les architectures de signature de code comportent différentes facettes essentielles, y compris :

  • La technologie d’infrastructure de clé publique (PKI) est utilisée pour créer une signature numérique.
  • La signature numérique repose sur une clé privée et sur le contenu d’un fichier programme.
  • En distribuant son code, le développeur inclut la signature avec le fichier ou un fichier de catalogue associé.
  • Après réception du code signé, les utilisateurs ou les appareils combineront le fichier, le certificat et la clé publique associée pour vérifier l’identité de la personne ayant signé le fichier et l’intégrité du fichier.

Les environnements de signature de code présentent une vulnérabilité majeure : les clés privées.

Sécurité des clés privées pour la signature de code

key

Quiconque pouvant accéder à une clé privée d’un détenteur légitime de certificats peut créer un logiciel apparaissant comme étant signé par cette organisation.

De nombreuses fuites ont utilisé des certificats de signature de code frauduleux pour causer des dommages considérables à la réputation et à l’entreprise du détenteur de certificats.

Afin de protéger avec efficacité les clés privées utilisées dans la signature de code, les organisations doivent impérativement tirer parti des modules matériels de sécurité (HSM). Les clés stockées sur des serveurs ou dans d’autres systèmes sont trop vulnérables aux accès non autorisés et peuvent trop facilement être compromises. Le stockage des clés dans des HSM robustes et inviolables permet d’éliminer ces risques.

Les HSM de Thales offrent :

  • Une génération et un stockage sécurisés des clés
  • Une haute disponibilité et une haute fiabilité
  • Des performances et une évolutivité
  • Une prise en charge de la cryptographie sur les courbes elliptiques (ECC)
  • Des contrôles d’accès d’administration robustes
  • Une gouvernance et une conformité

En savoir plus sur les HSM de Thales

Partenaire à la une : Signature de code de Microsoft Authenticode

Microsoft

Microsoft Authenticode permet aux utilisateurs finaux d’identifier l’éditeur d’un composant logiciel et de vérifier que personne ne l’a manipulé avant de le télécharger sur Internet.

Authenticode s’appuie sur des techniques cryptographiques prouvées et sur l’utilisation d’au moins une clé privée pour appliquer une signature et un horodatage sur le logiciel édité. Il est important de garantir la confidentialité de ces clés.

Le HSM de Thales s’intègre à Microsoft Authenticode pour offrir un système fiable pour la protection des identifiants de l’organisation de l’éditeur de logiciels. Les HSM de Thales protègent la clé de signature de code dans un HSM certifié FIPS 140-2 niveau 3 conforme à la norme de l’industrie.

En savoir plus sur la signature de code d’Authenticode

Découvrir nos partenariats technologiques