Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Part 2 · Certificate Types Intermediate 8 min read

Certificats de signature de code

Chaque fois qu'un utilisateur installe un logiciel, son système d'exploitation doit décider s'il peut lui faire confiance. Les certificats de signature de code sont le mécanisme qui comble ce déficit de confiance : ils prouvent l'identité de l'éditeur et garantissent que le code n'a pas été altéré depuis sa signature.

En bref

Type
Educational
Niveau
Intermediate
Chapitre
7 sur 25
Suivant
Certificats d'authentification client

Vue d'ensemble

Les attaques sur la chaîne d'approvisionnement logicielle figurent désormais parmi les catégories d'incidents de cybersécurité les plus dommageables. Lorsque des attaquants compromettent un pipeline de build ou injectent du code malveillant dans une application légitime, l'impact se propage à chaque utilisateur qui télécharge et exécute le logiciel altéré. Des incidents très médiatisés, de la compromission de SolarWinds aux packages npm vérolés, ont démontré que faire confiance au logiciel par défaut n'est plus tenable.

La signature de code s'attaque à ce problème à la racine. En apposant une signature cryptographique sur un exécutable, une bibliothèque, un pilote ou un script, le développeur produit une preuve vérifiable que le code provient d'une source connue et qu'il n'a pas été modifié depuis sa publication. Les systèmes d'exploitation, les navigateurs et les outils de sécurité d'entreprise utilisent ces signatures pour prendre leurs décisions de confiance : un code signé par un éditeur reconnu s'exécute sans heurts, tandis qu'un code non signé ou altéré déclenche des alertes ou est purement et simplement bloqué.

Un certificat de signature de code est le certificat numérique qui rend tout cela possible. Émis par une autorité de certification de confiance, il lie l'identité de l'éditeur à une clé publique et est utilisé par les outils de signature pour produire des signatures que les systèmes d'exploitation savent vérifier.

Étapes clés

1

Hashage du code

L'outil de signature calcule une empreinte cryptographique (généralement SHA-256) du binaire, du script ou du package. Cette empreinte est unique : la modification d'un seul octet dans le code produit une valeur de hash totalement différente.

2

Signature avec la clé privée

L'empreinte est chiffrée avec la clé privée du développeur, ce qui produit la signature numérique. La signature, accompagnée du certificat de signature de code (qui contient la clé publique et l'identité vérifiée de l'éditeur), est embarquée dans le fichier ou attachée à celui-ci.

3

Vérification par l'utilisateur final

Lorsque l'utilisateur télécharge ou exécute le logiciel, le système d'exploitation extrait la signature et utilise la clé publique de l'éditeur pour déchiffrer l'empreinte. Il calcule ensuite indépendamment l'empreinte du fichier téléchargé. Si les deux empreintes correspondent et que le certificat remonte à une CA de confiance, le logiciel est validé comme authentique et non altéré.

Comment nous aidons

Evertrust & Certificats de signature de code

Inventaire centralisé des certificatsEvertrust CLM découvre et suit chaque certificat de signature de code dans votre organisation, quelle que soit la CA qui l'a émis ou l'emplacement de stockage de la clé, et vous offre une vue unique sur l'ensemble de votre infrastructure de signature.

Application des politiquesDéfinissez et appliquez les règles d'entreprise précisant quelles équipes peuvent demander des certificats de signature de code, quels algorithmes et mécanismes de stockage de clés sont autorisés, et quels workflows d'approbation doivent être respectés avant l'émission d'un certificat.

Cycle de vie automatiséEvertrust PKI automatise l'émission et le renouvellement des certificats de signature de code, en s'intégrant à vos pipelines CI/CD pour garantir que les certificats de signature restent toujours à jour et conformes, éliminant ainsi le risque de signatures expirées en production.

Audit et conformitéPistes d'audit complètes pour chaque demande, approbation, émission de certificat et opération de signature, afin d'aider votre organisation à démontrer sa conformité aux politiques de sécurité internes et aux exigences réglementaires externes.

Parler à un expert Découvrir CLM
Certificats S/MIME et de messagerie Certificats d'authentification client