Forum Astuces.divers Signer des binaires

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
8
25
jan.
2018

Bonjour à tous,

Je développe des applications libres desktop. Qui s'installe sur l'ordinateur donc.
Le soucis est que mes installeurs et binaires sont parfois (souvent) reconnus par des anti-virus comme des logiciels malveillants car ils ne sont pas signés avec "Authenticode". Je parle pour windows.

Je me suis renseigné un peu niveau tarif.
Pour un développeur unique, je trouve des tarifs autour de 80€ par an pour le certificat.
Pour une entreprise, c'est supérieur à 400€ par an.

Dans mon cas, j'ai plutôt envie de signer les binaires au nom de l'association et pas en mon nom propre. Je ne sais pas si je peux le faire avec un certificat "personnel". Le nom semble dire non mais on sait jamais.

De plus, l'ensemble des sites proposant des certificats personnels semblent être bloqué dans une faille temporelle qui les bloquent en 1995. Cela ne m'inspire pas super super confiance.

Donc mes questions:

1/ Peut-on utiliser un certificat "personnel" pour une association ?

2/ Quels sites vous recommandez ?

3/ Y-a-t'il une initiative libre quelque part pour faciliter la vie des libristes ? (à l'image de Let's Encrypt, douce utopie je pense mais on sait jamais).

4/ Et pour MacOS X comment ça se passe ?

Je pose ici mes interrogations dès maintenant, si vous avez des réponses. Je continue mes recherches de mon côté et viendrait reporter mes résultats, si jamais.

  • # autre solution

    Posté par  . Évalué à 1.

    L'autre solution, celle qui est utilisée par les distributions linux: tu signes tes binaires avec ta propre clé PGP (ou est-ce GPG? je sais plus… pour le soft, cherches GnuPG), tu distribues ta clé publique, et tu dis aux utilisateurs qu'en cas de doute ils peuvent vérifier que c'est bien toi (bon, il te faudra leur expliquer comment faire, certes).

    Le problème que tu rencontres au niveau prix ici, c'est qu'en fait tu «achètes» la réputation d'une entreprise, qui en retour garantit à tes utilisateurs que nonnon, le programme n'est pas un malware (alors que si ça se trouve l'auteur à collé une merde dedans volontairement…). Alors, peut-être qu'en plus cette boîte fait le nécessaire auprès des éditeurs d'AV pour que les programmes ne soient pas détectés, je ne sais pas.

    Du coup, pour répondre à tes questions:

    1) y'a sûrement moyen de biaiser le truc: si l'asso prend comme presta un dev externe, par exemple, ça marche peut-être.
    2) aucun, vu que je n'en connaît pas: pas besoin quand on est sous linux désolé :)
    3) regardes du côté de GnuPG. C'est accessoirement aussi utilisable pour signer et/ou chiffrer les mails (ce qui est étrangement simple à faire avec thunderbird ou claws, pour le coup. Pour les webmails, aucune idée). Tu pourrais bien faire d'une pierre deux coups, en fait.
    4) aucune idée, je n'ai quasiment jamais eu de mac sous la main.

    • [^] # Re: autre solution

      Posté par  . Évalué à 2.

      Bonne chance pour GPG, c'est une catastrophe à utiliser sous Windows si on n'avait pas un environnement Linux installé de base.

      • [^] # Re: autre solution

        Posté par  . Évalué à 1.

        Aucune idée, je n'ai jamais testé, et je n'ai pas de windows sous le coude. Du coup, c'est quoi la différence d'utilisation? Et ça s'est peut-être amélioré avec windows 10, vu qu'il me semble qu'ils ont mis une surcouche pour le support des applications linux?

  • # Mon retour d'experience

    Posté par  . Évalué à 4.

    La signature des binaires permet à partir d'une chaine de confiance (root=microsoft) et transférer cette confiance à l'auteur du binaire par génération de clef permettant de remonter à qui la générée.

    En clair, on te vend un certificat après avoir vérifier (plus ou moins sérieusement) que tu est qui tu prétend et que tes coordonnée de contact sont exactent. Dans mon cas, verisign avait vérifier auprès que la société dans laquel j'était avait bien un siret enregistrer au tribunal de commerce, un téléphone fixe et était à l'adresse indiquée (sur pagesjaunes), ca c'est les vérifs dont j'ai eut connaissance.

    Tout ca pour dire qu'une initiative libre pour des binaires windows je n'y crois pas trop.

    La liste des "vendeur de certificat" est disponible à l'adresse suivante

    https://docs.microsoft.com/en-us/windows-hardware/drivers/dashboard/get-a-code-signing-certificate

    Les prix varie effectivement de 80 à 600€ (pour les EV qui permettent de signer les drivers)

    Un certificat personnel me semble le mieux dans ton cas, de toute façon pour créer un certificat un "responsable technique" est nécessaire.

    Pour Mac vu que digicert vend des certificats le process doit être similaire

    https://www.digicert.com/code-signing/apple-certificates.htm

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.