France [
Les développeurs et les éditeurs Web offrent plus de choix et de personnalisation que jamais. Des applications innovantes améliorent les sites Web, les périphériques mobiles et les logiciels de bureau pour le travail et le divertissement. Tout le monde a envie de la dernière application mais personne ne veut compromettre la sécurité ou la fonctionnalité.
- Les utilisateurs finaux ignorent souvent les avertissements de sécurité et continuent de télécharger du contenu et du code.
- Les fournisseurs de logiciels et de matériel veulent soutenir l'innovation sans compromettre leurs produits.
- Les fournisseurs de réseaux doivent protéger leurs actifs sans fil tout en proposant les dernières options à leurs abonnés.
Comment les utilisateurs finaux, les plate-formes logicielles et les réseaux peuvent-ils savoir en quel code avoir confiance ? La signature de code de la part d'une autorité de certification (AC) comme VeriSign montre l'authentification de l'identité de la source du code et la preuve de l'intégrité de son contenu. Pourquoi signer votre code ? Voici 5 bonnes raisons :
1. Montrer à vos clients que vous offrez un contenu fiable
Le Code Signing crée un « emballage » numérique qui montre aux clients l'identité de l'entreprise responsable du code et qui confirme qu'il n'a pas été modifié depuis sa signature. Dans le commerce de logiciels traditionnels, un acheteur peut confirmer la source de l'application et son intégrité en regardant son emballage. Grâce au Code Signing, un développeur ou un éditeur de logiciels utilise une clé privée pour ajouter une signature numérique à du code ou à du contenu. Les plate-formes et les applications logicielles utilisent une clé publique pour décrypter la signature pendant le téléchargement. Elles comparent le hachage utilisé pour signer l'application au hachage de l'application téléchargée. Un code signé par une source de confiance peut être accepté automatiquement ou demande à l'utilisateur final de faire confiance ou non au code. L'utilisateur peut choisir de faire confiance au code une fois ou tout le temps.
2. Diminuer les messages d'erreur et les avertissements de sécurité
VeriSign® Code Signing augmente l'adoption et la distribution de logiciels téléchargeables en diminuant les avertissements de sécurité et en répondant aux exigences des fournisseurs. Quand les utilisateurs finaux rencontrent du code non signé ou auto-signé, ils sont interrompus. L'application ne parvient pas à télécharger ou un écran d'avertissement requiert leur intervention :
Si ces utilisateurs finaux rencontrent du code portant une signature numérique VeriSign, la plupart des systèmes font confiance à VeriSign et à l'éditeur. Il se peut que l'utilisateur ne voie ou ne reçoive jamais d'avertissement recommandant de faire confiance à l'application (en fonction des paramètres de sécurité du client, de la plate-forme et de l'application).
3. Lier la réputation de votre entreprise au certificat racine le plus omniprésent
Les entreprises investissent lourdement pour créer une marque et se faire une réputation commerciale en laquelle les clients et les partenaires ont confiance. Tout simplement, la signature de votre code garantit que le code n'est pas falsifié et que c'est vous l'envoyez, mais ce procédé ne vérifie pas qui vous êtes. Si une partie malveillante distribue des logiciels malveillants prétendant provenir de vous, l'auto-signature n'offre aucune protection.
Une AC tierce est plus fiable qu'un certificat auto-signé car l'entité ayant demandé le certificat a dû passer un processus de validation tiers. Quand des plate-formes et des applications logicielles vérifient une signature numérique, elles ont accès à un certificat « racine » pour déterminer si elles peuvent faire confiance aux AC qui ont délivré le certificat. Parce que les certificats racine de VeriSign sont préinstallés sur la plupart des périphériques et intégrés à la majorité des applications, les signatures numériques de VeriSign sont presque toujours fiables, réduisant la quantité d'avertissements et de messages d'erreur. Les certificats auto-signés ne sont pas fiables jusqu'à ce que l'utilisateur final télécharge le certificat racine.
4. Protéger vos clients avec la vérification de l'intégrité de votre contenu
Les signatures numériques contiennent la preuve de l'intégrité du contenu ; les clients savent donc que le code n'a pas été modifié. Si le hachage ayant servi à signer l'application ne correspond pas au hachage d'une application téléchargée, un avertissement de sécurité alertera l'utilisateur final ou bien l'accès sera refusé. En d'autres termes, en cas de modification d'un simple octet du code, la signature de code détectera le changement et avertira le client. Une option d'horodatage indique la date de signature du code, permettant aux clients de vérifier la validité du certificat de signature de code au moment de la signature numérique. Un VeriSign® Code Signing Account se sert de la cryptographie de clé publique au cours d'un processus de signature en deux étapes pour créer une signature numérique unique à chaque fois que du code est signé, facilitant le suivi et la révocation de chaque version de code sortie.
5. Développer une relation de confiance avec vos clients
VeriSign est la marque la plus fiable sur Internet (Tec-Ed Whitepaper, PDF, en anglais, Oct. 2007) qui fournit plus de plate-formes que n'importe quel autre fournisseur de signature de code. Que vous soyez un grand éditeur de logiciels ou un développeur indépendant, VeriSign vous aide à instaurer une relation de confiance avec vos clients en rendant vos applications difficiles à falsifier et plus fiables. VeriSign exploite l'infrastructure Internet qui prend en charge les noms de domaine de premier niveau en .fr et en .net avec une disponibilité de 100 % depuis 1998, et nos certificats SSL sécurisent plus d'un million de serveurs en ligne dans le monde, soit plus que n'importe quelle autre autorité de certifications.
|
