• Qu'est-ce que la technologie Code Signing et quelle est sa finalité ?
• Comment le portail Symantec Code Signing fonctionne-t-il ?
• Quelle est la différence entre un ID d'éditeur et un ID de contenu ?
• Quel est le nombre d'ID d'éditeur nécessaire ?
• Combien faut-il avoir d'ID de contenu ou d'événements de signature ?
• Faut-il signer tous les fichiers dans le fichier .cab ou uniquement le fichier .cab ?
• Combien de temps faut-il pour signer un code au moyen du portail Symantec Code Signing ?
• Pourquoi faut-il renouveler l'ID d'éditeur/l'ID d'administrateur ?
• Existe-t-il un moyen d'utiliser un script pour la signature de code avec le portail Code Signing ?
• Quelle est la durée de validité d'une signature numérique ?
• Puis-je accéder à mon portail Code Signing sur des ordinateurs différents ?
• Comment un tiers peut-il savoir que ma signature est fiable ?
• Que se passe-t-il en cas de perte ou de corruption du jeton (token) USB ou de l'ID d'éditeur ?

Qu'est-ce que la technologie Code Signing et quelle est sa finalité ?

La technologie de signature de code Code Signing crée un "emballage" numérique qui indique aux clients l'identité de l'entreprise responsable du code, et confirme qu'il n'a pas été modifié depuis l'application de la signature. Lors de l'acquisition d'un logiciel dans le commerce, un acheteur peut s'assurer de la provenance de l'application et de son intégrité en examinant l'emballage. Les clients sont de plus en plus nombreux à télécharger des applications vers leurs téléphones mobiles, à installer des plug-ins et des modules complémentaires et à interagir avec des applications Web sophistiquées. Ils risquent de compromettre leur propre sécurité et le fonctionnement des réseaux mobiles en téléchargeant du code malveillant ou erroné. Symantec Code Signing protège votre marque et votre propriété intellectuelle en rendant vos applications identifiables et plus difficiles à falsifier ou endommager grâce à une signature numérique.

Avec un certificat de signature de code, le développeur signe l'ensemble du code à l'aide de la même signature numérique de manière à identifier la source du code et à garantir que celui-ci n'a pas été falsifié depuis la signature. Le portail Code Signing utilise un processus de signature en deux étapes pour créer une signature numérique unique à chaque signature de code, ce qui facilite le suivi de chaque version de code validée et une révocation éventuelle. Le développeur utilise un ID d'éditeur pour signer le code et se connecter au portail Code Signing. Il télécharge ensuite le code sur le portail. Symantec valide la signature numérique de l'éditeur, puis la retire et génère une nouvelle paire de clés. Il signe le contenu et le renvoie à l'éditeur avec le nouvel ID de contenu généré.

Quelle est la différence entre un ID d'éditeur et un ID de contenu ?

L'ID d'éditeur est le certificat numérique que vous recevez lorsque vous vous inscrivez sur un portail Code Signing. Il contient les informations sur votre entreprise et sert à signer numériquement votre code ou contenu avant son téléchargement sur le portail. Il permet également de vous authentifier lorsque vous vous connectez au portail. L'ID de contenu est le certificat Code Signing unique créé par Symantec lorsque votre contenu est signé sur le portail Code Signing. C'est la seule signature considérée comme fiable sur les terminaux des utilisateurs pour le téléchargement et l'exécution d'applications en toute sécurité. Pour signer du code au moyen d'un portail Code Signing, vous devez acheter un ID d'éditeur ainsi qu'un pack d'ID de contenu ou d'"événements de signature".

Quel est le nombre d'ID d'éditeur nécessaire ?

Chaque compte associé à un portail Code Signing se voit attribuer un ID d'éditeur (également appelé certificat d'administrateur). Un administrateur peut se connecter au portail et acheter des ID d'éditeur supplémentaires pour les différents groupes de développement au sein de l'entreprise. En utilisant un seul compte avec plusieurs ID d'éditeur, l'entreprise accède à un portail unique pour visualiser et suivre tous les événements de signature de code. Et chaque groupe dispose d'une identité unique qui peut être révoquée ou modifiée pour plus de sécurité.

Combien faut-il avoir d'ID de contenu ou d'événements de signature ?

A chaque signature d'une application ou d'un code, vous consommez un ID de contenu. Les ID de contenu sont vendus par le biais du portail Symantec Code Signing sous la forme de packs d'événements de signature. Vous avez besoin d'un événement de signature pour chaque application que vous signez (y compris les différentes versions). Si vous proposez une application Windows Mobile qui comprend un fichier .cab contenant un fichier .exe et un fichier .dll, la signature de cette application génère trois signatures (une pour chaque fichier), mais vous consommez un seul événement de signature.

Faut-il signer tous les fichiers dans le fichier .cab ou uniquement le fichier .cab ?

Vous devez signer tous les fichiers exécutables du fichier .cab. Le portail Symantec Code Signing signe automatiquement tous les fichiers exécutables lors du téléchargement du fichier .cab à signer.

Combien de temps faut-il pour signer un code au moyen du portail Symantec Code Signing ?

Symantec signe automatiquement toutes les applications approuvées. La signature du code peut prendre quelques minutes ou plusieurs jours. Tout dépend du type de service de signature que vous utilisez, ainsi que des exigences liées au réseau mobile ou à la plate-forme logicielle. Dans le cas d'applications qui accèdent à des API sécurisées, un fournisseur ou un opérateur réseau peut demander des tests. Le développeur signe l'application, l'envoie à l'organisme de test qui la télécharge ensuite sur le portail Code Signing. Symantec informe le fournisseur ou l'opérateur réseau que l'application est prête à être signée. Si ce dernier approuve l'application, Symantec finalise le processus de signature. Les développeurs peuvent suivre le statut de leur application sur le portail Code Signing. Pour plus d'informations sur les exigences en matière de test et d'approbation, contactez directement votre fournisseur ou opérateur réseau.

Pourquoi faut-il renouveler l'ID d'éditeur/l'ID d'administrateur ?

Les ID d'éditeur et d'administrateur expirent au bout de 12 mois. Symantec utilise un processus éprouvé et fiable pour authentifier et vérifier les entreprises avant d'émettre des certificats de classe 3 tels que les certificats Code Signing. Le processus de renouvellement annuel permet de garantir que l'ID d'éditeur est utilisé par une entreprise légitime et que l'interlocuteur est autorisé à développer des applications en son nom. C'est un processus nécessaire avant l'émission des certificats Code Signing, y compris des ID d'éditeur.

Existe-t-il un moyen d'utiliser un script pour la signature de code avec le portail Code Signing ?

Symantec fournit des API pour les deux comptes Editeur (Publisher) et Fournisseur (Provider) à utiliser avec le portail Code Signing de Symantec. Vous pouvez demander ces guides API à votre interlocuteur local ou à notre équipe de support.

Quelle est la durée de validité d'une signature numérique ?

Le portail Symantec Code Signing signe le code avec des signatures numériques valables 10 ans. Même si l'ID d'éditeur expire, l'ID de contenu unique et la signature numérique restent valables.

Puis-je accéder à mon portail Code Signing sur des ordinateurs différents ?

Vous pouvez accéder à votre portail Code Signing sur n'importe quel ordinateur au moyen d'un jeton (token) USB contenant votre ID d'éditeur dans la mesure où cet ordinateur dispose de la configuration minimale requise. En revanche, vous devez acheter et récupérer votre ID d'éditeur depuis le même ordinateur. Si vous rencontrez des problèmes lors de la récupération, vérifiez que vous utilisez bien le même ordinateur, navigateur et profil de connexion que lors de l'inscription. Pour optimiser la sécurité et la gestion, Symantec recommande aux développeurs d'acheter des ID d'éditeur supplémentaires plutôt que de partager des certificats.

Comment un tiers peut-il savoir que ma signature est fiable ?

La signature de votre code garantit que celui-ci n'est pas falsifié et que vous en êtes bien l'émetteur, mais elle ne permet pas de vérifier votre identité. Une autorité de certification indépendante est plus fiable qu'un certificat auto-signé car le demandeur du certificat est soumis à un processus d'examen minutieux ou d'authentification. Lorsque des applications et des plates-formes logicielles vérifient une signature numérique, elles accèdent à un certificat "racine" afin de déterminer si l'autorité de certification ayant émis le certificat est fiable. Les certificats racine de Symantec sont préinstallés sur la plupart des périphériques et intégrés à la plupart des applications. C'est pourquoi les signatures numériques de Symantec sont presque toujours considérées comme fiables, ce qui limite les messages d'erreur et d'avertissement.

Que se passe-t-il en cas de perte ou de corruption du jeton USB ou de l'ID d'éditeur ?

Un jeton USB (ou token USB) avec un ID d'éditeur ou un mot de passe ne peut pas être remplacé en cas de perte ou de vol car il est susceptible d'être utilisé par un inconnu pour signer du code en votre nom. Si vous perdez votre clé privée, si elle est corrompue ou si vos informations changent, vous devez immédiatement révoquer votre ID d'éditeur et le remplacer par un nouveau certificat numérique.