Dans le monde numérique d'aujourd'hui, assurer l'authenticité des logiciels est plus crucial que jamais. Avec les menaces informatiques qui évoluent rapidement, comment savoir si les applications que nous téléchargeons n'ont pas été altérées ? C'est là que la signature de code entre en jeu—un mécanisme de sécurité qui aide à vérifier qu'un logiciel est authentique et n'a pas été modifié depuis que le développeur l'a signé.

Mais le simple fait de posséder des certificats de signature de code ne suffit pas. S'ils ne sont pas correctement gérés, ces certificats peuvent tomber entre de mauvaises mains et être utilisés par des attaquants pour signer des logiciels malveillants, ce qui peut entraîner des attaques de la chaîne d'approvisionnement et des violations massives de la sécurité. Pour éviter cela, le CA/Browser Forum (Forum CA/B) est intervenu avec des normes industrielles strictes pour l'émission et la gestion des certificats de signature de code.

Qu'est-ce que la signature de code et pourquoi est-ce important ?

La signature de code est comme un « sceau d'approbation » numérique pour les logiciels. Elle utilise des techniques cryptographiques pour prouver qu'une application ou un exécutable provient d'une source fiable et n'a pas été modifié après la signature. Lorsque vous installez un logiciel sur Windows ou macOS et que vous voyez une fenêtre disant « Cette application provient d’un développeur vérifié », c’est la signature de code à l’œuvre. Sans elle, il n’y a aucun moyen de confirmer si une mise à jour logicielle est légitime ou si un pirate y a injecté un logiciel malveillant. Les attaquants volent ou utilisent souvent à mauvais escient des certificats de signature de code faiblement protégés pour faire passer leur logiciel malveillant pour un logiciel de confiance, c'est pourquoi la sécurisation de ces certificats est tout aussi importante que leur utilisation.

Qui est le Forum CA/B et pourquoi devriez-vous vous en soucier ?

Le Forum CA/B est un groupe d'autorités de certification (CA), de fournisseurs de navigateurs (tels que Microsoft, Google et Mozilla) et d'autres parties prenantes en cybersécurité qui définissent les meilleures pratiques pour l'émission et la gestion des certificats numériques.

Ils établissent les règles que les CA doivent respecter pour garantir que les certificats SSL/TLS, S/MIME et de signature de code sont émis de manière sécurisée et ne peuvent pas être facilement détournés. Leurs exigences de base pour la signature de code définissent des politiques strictes pour prévenir l’abus des certificats et améliorer la sécurité des logiciels. À l’ère de la montée des logiciels malveillants et des attaques sur la chaîne d’approvisionnement, les certificats de signature de code sont essentiels à la sécurité de la distribution logicielle. Le Forum CA/B a défini des exigences de base strictes afin d’assurer l’intégrité des certificats de signature de code et d’empêcher les abus.

Le besoin de pratiques de signature de code renforcées

La signature de code est un contrôle de sécurité essentiel qui permet aux utilisateurs de vérifier l’authenticité d’un logiciel. Cependant, les cybercriminels abusent souvent de certificats volés ou faiblement protégés pour signer des logiciels malveillants. Les Exigences de base v3.9 du Forum CA/B visent à atténuer ces risques par des politiques plus strictes en matière d'émission, de stockage et de révocation.

1. Plus de vérifications d'identité faibles ; une vérification renforcée est obligatoire

   Avant de délivrer un certificat de signature de code, les CA doivent vérifier strictement l'identité du demandeur. Cela comprend :

   1. La confirmation de l’existence légale d’une entreprise ou d’un individu.
   2. La validation de la propriété du domaine pour le certificat.
   3. La vérification des documents d'identité délivrés par le gouvernement.

   Cela aide à empêcher les fraudeurs d’obtenir des certificats valides qu’ils pourraient utiliser pour signer des logiciels malveillants.

2. Dites adieu aux clés facilement volées : le stockage sécurisé est obligatoire

   Le vol de clés privées est l’un des risques de sécurité les plus importants dans la signature de code. Si une clé privée tombe entre de mauvaises mains, un attaquant peut l’utiliser pour signer un logiciel malveillant, comme s’il provenait d’un développeur de confiance. Pour éviter cela, le Forum CA/B exige désormais que les clés privées soient générées, stockées et utilisées à l’intérieur d’un module matériel cryptographique certifié conforme à FIPS 140-2 Niveau 2 ou Common Criteria EAL 4+ pour :

   1. Modules matériels de sécurité (HSM) pour la sécurité sur site.
   2. Modules de plateforme sécurisée (TPM) pour la sécurité des points d’accès.
   3. Systèmes de gestion de clés dans le cloud (KMS) pour la signature dans le nuage.

   Suivre ces normes signifie que les développeurs ne peuvent plus stocker de clés privées dans des formats logiciels non sécurisés comme les fichiers PFX, qui sont des cibles faciles pour les pirates.

3. Durée de vie plus courte des certificats et politiques de révocation

   Auparavant, les certificats de signature de code pouvaient durer jusqu’à cinq ans. Bien que cela soit pratique, cela signifiait aussi que si un certificat était volé ou mal utilisé, les attaquants pouvaient continuer à l’utiliser pendant des années avant qu’il n’expire.

   Pour limiter ce risque, le Forum CA/B a réduit la validité maximale à 39 mois. Cela garantit que les entreprises subissent une revalidation d’identité fréquente, ce qui complique la tâche des certificats volés pour rester actifs longtemps.

   Révocation plus rapide : Si un certificat est compromis ou utilisé pour un logiciel malveillant, la CA doit le révoquer immédiatement, parfois dans les 24 heures pour les cas à haut risque. Cela garantit que les certificats compromis ne continuent pas à être utilisés pour des attaques.

   De plus, les CA doivent désormais :

   1. Utiliser les journaux Certificate Transparency (CT) pour suivre les certificats délivrés.
   2. Analyser les logiciels à la recherche de logiciels malveillants avant de délivrer un certificat.

   Cela permet de détecter rapidement les activités suspectes et d’empêcher les acteurs malveillants d’abuser des certificats de signature de code.

4. Horodatage : prolonger la confiance au-delà de l’expiration

   Un logiciel signé avec un certificat de signature de code peut devenir invalide une fois le certificat expiré. Pour remédier à cela, le Forum CA/B exige l’utilisation d’horodatages conformes à la norme RFC 3161, ce qui garantit que le logiciel signé reste de confiance même après l’expiration du certificat.

5. Analyse des logiciels malveillants avant l’émission

   Un ajout révolutionnaire est l’analyse des logiciels malveillants avant l’émission des certificats. Cela empêche les développeurs malveillants d’obtenir des certificats valides de signature de code pour distribuer des logiciels malveillants, ce qui réduit considérablement les risques pour la chaîne d’approvisionnement.

Conclusion : Un pas vers un écosystème logiciel plus sûr

Les exigences de base mises à jour du Forum CA/B représentent un grand pas vers un écosystème logiciel plus sûr et plus fiable. En imposant une vérification d'identité solide, un stockage sécurisé des clés, des politiques de révocation strictes et l'horodatage obligatoire, les nouvelles directives rendent beaucoup plus difficile pour les attaquants d’abuser des certificats de signature de code. Pour les développeurs et les entreprises, cela signifie :

• Une confiance accrue dans les logiciels signés.
• Un risque réduit de vol et d’abus de certificats.
• Une défense renforcée contre les logiciels malveillants et les attaques sur la chaîne d’approvisionnement.

Dans un monde où les menaces numériques continuent de croître, ces mesures contribuent à garantir que les logiciels restent sécurisés, vérifiés et inviolables.