Modifications apportées à la vérification de signature Authenticode de Windows
Date de publication : 10 décembre 2013 | Date de mise à jour : 29 juillet 2014
Version : 1.4
Informations générales
Synthèse
Microsoft annonce la disponibilité d'une mise à jour pour toutes les versions en cours de support de Windows, afin de modifier la façon dont les signatures sont vérifiées pour les fichiers binaires signés avec le format de signature Authenticode de Windows. Cette modification est incluse dans le Bulletin de sécurité MS13-098, mais ne sera activée que de façon volontaire. Une fois celle-ci activée, le nouveau comportement de vérification de signature Authenticode de Windows n'autorisera plus d’informations superflues dans la structure WIN_CERTIFICATE et Windows ne reconnaîtra plus les fichiers binaires non conformes comme étant signés. Veuillez noter que Microsoft peut faire de ce comportement le comportement par défaut dans une version ultérieure de Microsoft Windows.
Recommandation. Microsoft recommande aux auteurs de fichiers exécutables d'envisager de rendre tous les fichiers binaires signés conformes à la nouvelle norme de vérification en s'assurant que la structure WIN_CERTIFICATE ne contient aucune information superflue. Microsoft recommande également que les clients testent correctement cette modification afin d'évaluer son comportement dans leurs environnements. Veuillez consulter la section « Actions suggérées » de cet Avis pour plus d'informations.
Détails de l'Avis
Références sur le problème
Pour plus d'informations sur ce problème, consultez les références suivantes :
Forum aux questions relatif à cet Avis
--------------------------------------
**Quelle est la portée de cet Avis ?**
Le but de cet Avis est d'informer nos clients d'une modification facultative de la façon dont Microsoft Windows vérifie les fichiers binaires à signature Authenticode.
**Pourquoi cet Avis a-t-il été mis à jour le 29 juillet 2014 ?**
Cet Avis a été mis à jour le 29 juillet 2014 afin d'annoncer que le comportement de vérification de signature Authenticode de Windows plus strict décrit ici serait activé de façon volontaire et ne constituerait pas le comportement par défaut dans les versions en cours de support de Microsoft Windows.
**Comment Microsoft implémentera-t-il le comportement de vérification de signature Authenticode de Windows plus strict ?**
Le 10 décembre 2013, Microsoft a publié le Bulletin de sécurité [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389) afin de déployer le code sous-jacent pour un comportement de vérification de signature Authenticode plus strict. Auparavant, cet Avis annonçait que, d'ici le 12 août 2014, Microsoft activerait les modifications implémentées via le Bulletin [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389) en tant que fonctionnalité par défaut. Cependant, au fil de notre collaboration avec nos clients afin de faciliter leur adaptation à cette modification, nous avons déterminé que l'impact sur les logiciels existants pouvait être élevé. Par conséquent, Microsoft n'envisage plus d'appliquer le comportement de vérification plus strict en tant que fonctionnalité par défaut. La fonctionnalité sous-jacente pour une vérification plus stricte reste cependant en place et peut être activée à la discrétion du client.
**Comment puis-je activer le nouveau comportement de vérification de signature ?**
Les clients qui souhaiteraient activer le nouveau comportement de vérification de signature Authenticode peuvent le faire en définissant une clé dans le Registre système. Une fois cette clé définie, la vérification de signature Authenticode de Windows ne reconnaîtra plus les fichiers binaires dont les signatures Authenticode contiennent des informations superflues dans la structure WIN\_CERTIFICATE. Les clients peuvent choisir de désactiver la fonctionnalité à tout moment en désactivant cette clé de Registre. Consultez la section « **Actions suggérées** » ci-dessous pour obtenir des instructions à cet effet.
**J'ai activé cette modification, dois-je prendre des mesures maintenant qu'elle ne sera pas appliquée par défaut ?**
Les clients ayant déjà activé le comportement de vérification plus strict, et n'ayant rencontré aucun problème, peuvent choisir de laisser le comportement de vérification activé. Les clients ayant rencontré des problèmes de compatibilité des applications avec le nouveau comportement, ou les clients qui souhaitent simplement désactiver le nouveau comportement, peuvent désactiver cette fonctionnalité en supprimant la clé de Registre EnableCertPaddingCheck. Consultez la section « **Actions suggérées** » ci-dessous pour obtenir des instructions à cet effet.
**Je n'ai pas activé cette modification, dois-je prendre des mesures maintenant qu'elle ne sera pas appliquée par défaut ?**
Non. Le comportement de vérification plus strict installé avec le Bulletin [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389) résidera sur le système, mais restera inactif tant que la fonctionnalité n'aura pas été activée.
**Le nouveau comportement de vérification affecte-t-il les logiciels déjà installés ?**
Le nouveau comportement de vérification plus strict, lorsqu'il est activé, s'applique principalement aux fichiers binaires exécutables portables (PE) signés avec le format de signature Authenticode de Windows. Les fichiers binaires qui ne sont pas signés avec ce format ou qui n'utilisent pas WinVerifyTrust pour vérifier les signatures ne sont pas concernés par le nouveau comportement. Les fichiers binaires les plus susceptibles d'être concernés sont les fichiers de programme d'installation PE distribués via Internet qui sont personnalisés au moment du téléchargement. Le scénario le plus courant dans lequel les utilisateurs peuvent percevoir un impact se produit lors du téléchargement et de l'installation de nouvelles applications. C'est le cas uniquement si les clients ont choisi d'activer le comportement de vérification plus strict, après quoi les utilisateurs peuvent observer des messages d'avertissement lorsqu'ils tentent d'installer de nouvelles applications dont la validation des signatures échoue.
**Le nouveau comportement de vérification a-t-il un impact sur les stratégies AppLocker ?**
Pour les clients ayant choisi d'activer le comportement de vérification plus strict, toute règle AppLocker qui dépend de fichiers signés, ou attend un éditeur spécifique, peut être affectée si la signature d'un fichier ne répond pas aux exigences de vérification de signature Authenticode plus strictes.
**Le nouveau comportement de vérification a-t-il un impact sur les stratégies de restriction logicielle ?**
Pour les clients ayant choisi d'activer le comportement de vérification plus strict, toute stratégie de restriction logicielle qui dépend de fichiers signés, ou attend un éditeur spécifique, peut être affectée si la signature d'un fichier ne répond pas aux exigences de vérification de signature Authenticode plus strictes.
**Le nouveau comportement de vérification plus strict estime que mon fichier binaire n'est pas conforme. Que puis-je faire ?**
Si un fichier binaire est considéré comme non conforme au comportement de vérification de signature Authenticode plus strict, cela ne sera pas un problème sur les systèmes qui n'ont pas activé le nouveau comportement de vérification car Microsoft n'applique pas le comportement plus strict par défaut. Toutefois, pour corriger les problèmes rencontrés avec un fichier binaire dont la validation échoue sur des systèmes sur lesquels le nouveau comportement de vérification a été activé, ce fichier binaire devra être signé à nouveau en respectant strictement le format de signature Authenticode de Windows et en particulier en excluant toute information superflue de la structure WIN\_CERTIFICATE.
**Est-il possible qu'une signature soit considérée comme non conforme au processus de vérification plus strict si je le signe à l'aide d'outils de signature non fournis par Microsoft ?**
Oui. Pour les clients choisissant d'activer le comportement de vérification plus strict, la signature de fichiers binaires à l'aide d'outils de signature non fournis par Microsoft entraîne le risque de signatures considérées comme non conformes au comportement de vérification plus strict. L'utilisation de produits Microsoft, ou d'outils de signature fournis par Microsoft, tels que signtool.exe, permet de s'assurer que les signatures sont reconnues comme conformes.
**Qu'est-ce qu'Authenticode de Windows ?**
Authenticode de Windows est un format de signature numérique utilisé pour déterminer l'origine et l'intégrité des binaires logiciels. Authenticode utilise des données signées de norme PKCS (Public-Key Cryptography Standards) n° 7 et des certificats X.509 pour lier un fichier binaire à signature Authenticode à l'identité d'un éditeur de logiciels. L'expression « signature Authenticode » désigne un format de signature numérique qui est créé et vérifié à l'aide de la fonction WinVerifyTrust.
**Qu'est-ce que la vérification de signature Authenticode de Windows ?**
La vérification de signature Authenticode de Windows est constituée de deux activités principales : la vérification de signature sur des objets donnés et la vérification de confiance. Ces activités sont effectuées par la fonction WinVerifyTrust, qui exécute une vérification de signature, puis transmet la demande à un fournisseur de confiance qui prend en charge l'identificateur d'action, le cas échéant. Pour obtenir des informations plus techniques concernant la fonction WinVerifyTrust, consultez l'article consacré à la [fonction WinVerifyTrust](http://msdn.microsoft.com/en-us/library/aa388208(vs.85).aspx) (en anglais).
Pour plus d'informations sur Authenticode, consultez l'article offrant une [introduction à la signature de code](http://msdn.microsoft.com/en-us/library/ms537361(v=vs.85).aspx) (en anglais).
Actions suggérées
-----------------
- **Consulter les exigences techniques du programme de certificat racine Microsoft**
Les clients souhaitant en savoir plus sur le sujet couvert dans cet Avis sont priés de consulter l'article consacré aux [exigences techniques du programme de certificat racine Microsoft](http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements.aspx) (en anglais).
- **Modifier les processus de signature des fichiers binaires**
Après avoir consulté les détails techniques sous-jacents à la modification du comportement de vérification de signature Authenticode, Microsoft recommande aux clients de s'assurer que la structure WIN\_CERTIFICATE de leurs signatures Authenticode ne contient aucune information superflue. Microsoft recommande également aux auteurs de fichiers exécutables d'envisager de rendre leurs fichiers binaires à signature Authenticode conformes à la nouvelle norme de vérification. Les auteurs qui ont modifié leur processus de signature binaire et souhaiteraient activer le nouveau comportement peuvent le faire de façon volontaire. Pour de plus amples conseils, reportez-vous à l'article consacré aux [exigences techniques du programme de certificat racine Microsoft](http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements.aspx) (en anglais).
- **Tester l'amélioration de la vérification de signature Authenticode**
Microsoft recommande à ses clients de tester la façon dont cette modification de la vérification de signature Authenticode se comporte dans leur environnement avant de l'implémenter complètement. Pour activer les améliorations apportées à la vérification de signature Authenticode, modifiez le Registre afin d'ajouter la valeur EnableCertPaddingCheck, comme indiqué ci-dessous.
**Avertissement :** L'exécution de ces étapes pour activer les modifications de fonctionnalité incluses dans la mise à jour [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389) feront que les fichiers binaires non conformes apparaîtront comme non signés et qu'ils seront par conséquent considérés comme non fiables.
**Remarque** : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de créer de sérieux problèmes et d'avoir à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. L'utilisation de l'Éditeur du Registre relève de votre responsabilité.
Après avoir installé la mise à jour [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389), procédez comme suit :
**Pour les éditions 32 bits de Microsoft Windows**
Collez le texte suivant dans un éditeur de texte tel que le Bloc-notes. Ensuite, enregistrez le fichier en utilisant l'extension .reg (par exemple enableAuthenticodeVerification.reg).
```
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"="1"
```
Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels.
**Remarque :** Vous devez redémarrer le système pour que vos modifications prennent effet.
**Pour les éditions 64 bits de Microsoft Windows**
Collez le texte suivant dans un éditeur de texte tel que le Bloc-notes. Ensuite, enregistrez le fichier en utilisant l'extension .reg (par exemple enableAuthenticodeVerification64.reg).
```
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"="1"
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"="1"
```
Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels.
**Remarque :** Vous devez redémarrer le système pour que vos modifications prennent effet.
**Impact de l'activation des modifications de fonctionnalité incluses dans la mise à jour fournie avec le Bulletin [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389).** Les fichiers binaires non conformes apparaîtront comme non signés et seront par conséquent considérés comme non fiables.
**Comment désactiver la fonctionnalité.** Procédez comme suit pour supprimer la valeur de Registre précédemment ajoutée.
Pour les versions 32 bits de Microsoft Windows, collez le texte suivant dans un éditeur de texte tel que le Bloc-notes. Ensuite, enregistrez le fichier en utilisant l'extension .reg (par exemple disableAuthenticodeVerification.reg).
```
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"=-
```
Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels.
**Remarque :** Vous devez redémarrer le système pour que vos modifications prennent effet.
Pour les versions 64 bits de Microsoft Windows, collez le texte suivant dans un éditeur de texte tel que le Bloc-notes. Ensuite, enregistrez le fichier en utilisant l'extension .reg (par exemple disableAuthenticodeVerification64.reg).
```
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"=-
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"=-
```
Vous pouvez double-cliquer sur ce fichier .reg pour l'appliquer à des systèmes individuels.
**Remarque :** Vous devez redémarrer le système pour que vos modifications prennent effet.
### Actions supplémentaires suggérées
- Protégez votre PC
Nous encourageons nos clients à suivre les conseils de la section Protégez votre ordinateur concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour plus d'informations, consultez le [Centre de sécurité Microsoft](http://www.microsoft.com/fr-fr/security/default.aspx).
- Veillez à mettre à jour régulièrement vos logiciels Microsoft
Nous recommandons aux utilisateurs de logiciels Microsoft d'installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum leur ordinateur. Pour ce faire, rendez-vous sur [Microsoft Update](http://go.microsoft.com/fwlink/?linkid=40747), effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé et configuré les mises à jour automatiques de façon à recevoir les mises à jour pour les produits Microsoft, les mises à jour vous sont fournies à leur publication, mais nous vous conseillons de vérifier qu'elles sont installées.
Autres informations
-------------------
### Microsoft Active Protections Program (MAPP)
Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page [Microsoft Active Protections Program (MAPP) Partners](http://go.microsoft.com/fwlink/?linkid=215201) (en anglais).
### Commentaires
- Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : [Customer Service Contact Us](http://support.microsoft.com/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech) (en anglais).
### Support technique
- En cas de problème, contactez les [services de support sécurité Microsoft](http://go.microsoft.com/fwlink/?linkid=21131). Pour plus d'informations, consultez le[site Web Aide et Support Microsoft](http://support.microsoft.com/?ln=fr).
- Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour plus d'informations, consultez le site de [Support international](http://go.microsoft.com/fwlink/?linkid=21155).
- [TechNet sécurité](http://go.microsoft.com/fwlink/?linkid=21132) fournit des informations complémentaires sur la sécurité dans les produits Microsoft.
### Dédit de responsabilité
Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.
### Révisions
- V1.0 (10 décembre 2013) : Avis publié.
- V1.1 (13 décembre 2013) : Correction des informations relatives à la clé de Registre dans l'action suggérée « **Tester l'amélioration de la vérification de signature Authenticode** ». Les clients ayant appliqué ou ayant l'intention d'appliquer l'action suggérée doivent consulter les informations mises à jour.
- V1.2 (11 février 2014) : Avis réédité afin de rappeler aux clients que les modifications latentes implémentées dans le cadre du Bulletin MS13-098 seront activées le 10 juin 2014. Après cette date, Windows ne reconnaîtra plus les fichiers binaires non conformes comme étant signés. Consultez les sections « **Recommandation** » et « **Actions suggérées** » de cet Avis pour plus d'informations.
- V1.3 (21 mai 2014) : Avis mis à jour pour indiquer la nouvelle date limite du 12 août 2014, date à laquelle les fichiers binaires non conformes ne seront plus reconnus comme étant signés. Au lieu de l'ancienne date limite du 10 juin 2014, les modifications latentes de la mise à jour du Bulletin MS13-098 seront activées le 12 août 2014.
- V1.4 (29 juillet 2014) : Avis mis à jour afin d'annoncer que Microsoft n'envisage plus d'appliquer le comportement de vérification plus strict en tant que fonctionnalité par défaut sur les versions en cours de support de Microsoft Windows. Il reste disponible en tant que fonctionnalité facultative. Pour plus d'informations, consultez le **Forum aux questions de cet Avis**.
*Page generated 2014-07-29 17:38Z-07:00.*