|
Accueil > Actualités > La signature des fichiers téléchargés avec IE et Edge est endommagée ou non valide La signature des fichiers téléchargés avec IE et Edge est endommagée ou non valide
Plusieurs d'entre vous ont probablement remarqué qu'un avertissement de sécurité est affiché par les navigateurs Internet Explorer et Edge depuis quelques semaines lorsque l'on télécharge certains fichiers. Cela ne concerne d'ailleurs pas spécifiquement le téléchargement de pilotes depuis les serveurs de TLD mais bien l'ensemble du web. Que se passe-t-il ?
Conformément à ce que nous vous annoncions l'année dernière (voir l'actualité Ce qui va changer dès 2016 pour les certificats numériques), Microsoft a mis en place le 1 janvier 2016 sa nouvelle politique concernant les signatures numériques de fichiers. L'algorithme de hachage SHA-1 n'est en effet désormais plus considéré comme sûr par la majorité des acteurs du web et a été déprécié au profit du SHA-2 (SHA-256). Les autorités de certification ne proposent d'ailleurs plus aujourd'hui l'achat ce type de certificats numériques. Concrètement, depuis le 01/01/2016 (ou plus exactement depuis le 12/01/2016 et la vague de mises à jour Windows du mois de janvier), les deux navigateurs de Microsoft (IE et Edge) affichent un avertissement pour prévenir l'utilisateur d'un risque potentiel lors du téléchargement d'un fichier exécutable dont la signature est de type SHA-1. Nous parlons bien ici de la signature des fichiers exécutables (Code Signing) et non de la signature (WHQL ou autre) des éventuels pilotes inclus. A la fin du téléchargement, le navigateur lance le filtre de sécurité SmartScreen pour vérifier différents éléments et notamment si une signature SHA-1 est trouvée, un message est alors affiché en rouge dans le gestionnaire des téléchargements. Il s'intitule exactement : La signature de ce programme est endommagée ou n'est pas valide. (ou en Anglais The signature of this program is corrupt or invalid.). En dépit de cet avertissement, le fichier est bien enregistré sur le disque dur et il est possible de forcer son exécution en faisant un clic droit sur le fichier dans le gestionnaire puis en cliquant sur "Exécuter quand même". En réalité, cet avertissement ne concerne que les fichiers ayant été signés par leur auteur avec une empreinte SHA-1 après la date du 01/01/2016. Tous les fichiers créés auparavant avec du SHA-1 restent considérés comme fiables par Microsoft qui ne peut évidemment pas demander à des millions d'éditeurs de signer de nouveau leurs programmes existants. Pour rappel, les certificats numériques SSL/TLS basés sur l'algorithme SHA-1 et qui servent, eux, à chiffrer les pages web et non des fichiers exécutables téléchargés, sont aussi en cours de dépréciation sur Internet. Microsoft leur donne pourtant un peu de répit puisqu'ils ne seront reconnus comme non valides qu'à partir de juin 2016 par Internet Explorer et Edge (la date du 01/01/2017 était initialement prévue). De son côté, Google a déjà scellé le sort des certificats SSL/TLS SHA-1 depuis le 01/01/2016 pour les versions 39 et ultérieures du navigateur Chrome. Même chose pour Mozilla qui a toutefois constaté récemment trop de problèmes de compatibilité et qui a donc réintégré provisoirement le support de SHA-1 dans Firefox. A noter que ni Chrome ni Firefox ne semblent effectuer la moindre vérification sur la signature SHA-1 des fichiers exécutables téléchargés comme le fait donc depuis quelques semaines le filtre SmartScreen de Microsoft. Signalons enfin que certains éditeurs signent désormais leurs fichiers avec les deux types de certificats de manière à ce que les anciennes machines ne supportant pas le SHA-256 (comme Windows XP SP2) puissent continuer d'installer leurs applications. C'est notamment le cas de NVIDIA et du programme d'installation des derniers drivers graphiques GeForce R361 pour Windows XP.
Actualité publiée par Julien Sambourg le mardi 01 mars 2016 à 16:10
Il y a 2 commentaires sur cette actualité Marque associée : Microsoft Flux RSS des actualités TousLesDrivers.com |
|