Actualités
23/10/20 Creative publie le Sound Blaster Command 3.4.92.00 avec support final de la G6
23/10/20 Le logiciel NVIDIA GeForce Experience 3.20.5 finalisé
23/10/20 Quoi de neuf dans le logiciel Samsung Magician 6.2.1 ?
21/10/20 Le pilote graphique Intel 100.8853 supporte Windows 10 October 2020 Update
21/10/20 Hotfix 456.98 pour le pilote NVIDIA GeForce
20/10/20 Drivers 2.10 pour les chipsets AMD
20/10/20 Plusieurs nouveaux jeux supportés par le pilote AMD Radeon 20.10.1
20/10/20 Le logiciel Magician pour SSD Samsung passe en version 6.2.1
19/10/20 Mise à jour critique pour le casque Turtle Beach Stealth 600 Gen 2 for Xbox
16/10/20 Les recommandations d'AMD et Creative pour les Sound Blaster AE et le chipset X570


Fichiers
23/10/20 Creative Sound Blaster AE Series 3.4.92.00 WHQL
23/10/20 ADATA XPG SUMMONER
23/10/20 ADATA XPG PRIME Software 1.0.8 bêta
23/10/20 ADATA XPG Epic 0.91
23/10/20 ADATA XPG PRECOG 0011 build 2
23/10/20 ADATA Acronis True Image OEM 2016 19.0.0.5158
23/10/20 ADATA XPG GAMMIX S50 Lite 82A7T9PA
23/10/20 ADATA XPG RGB Software 1.00.01 build 2
23/10/20 Creative Sound Blaster Command 3.4.92.00
23/10/20 Creative DTS Connect Pack 2.02.00
Accueil / Commentaires des news
Répondre Actualiser Rechercher S'inscrire ou s'identifier FAQ

Pages : 1

Par Julien
Le 01/03/2016 à 16:10:17



Inscription : le 16/02/2001
Localisation : Vitrolles
La signature des fichiers téléchargés avec IE et Edge est endommagée ou non valide
Plusieurs d'entre vous ont probablement remarqué qu'un avertissement de sécurité est affiché par les navigateurs Internet Explorer et Edge depuis quelques semaines lorsque l'on télécharge certains fichiers. Cela ne concerne d'ailleurs pas spécifiquement le téléchargement de pilotes depuis les serveurs de TLD mais bien l'ensemble du web. Que se passe-t-il ?

Conformément à ce que nous vous annoncions l'année dernière (voir l'actualité Ce qui va changer dès 2016 pour les certificats numériques), Microsoft a mis en place le 1 janvier 2016 sa nouvelle politique concernant les signatures numériques de fichiers. L'algorithme de hachage SHA-1 n'est en effet désormais plus considéré comme sûr par la majorité des acteurs du web et a été déprécié au profit du SHA-2 (SHA-256). Les autorités de certification ne proposent d'ailleurs plus aujourd'hui l'achat ce type de certificats numériques.

Concrètement, depuis le 01/01/2016 (ou plus exactement depuis le 12/01/2016 et la vague de mises à jour Windows du mois de janvier), les deux navigateurs de Microsoft (IE et Edge) affichent un avertissement pour prévenir l'utilisateur d'un risque potentiel lors du téléchargement d'un fichier exécutable dont la signature est de type SHA-1. Nous parlons bien ici de la signature des fichiers exécutables (Code Signing) et non de la signature (WHQL ou autre) des éventuels pilotes inclus.

A la fin du téléchargement, le navigateur lance le filtre de sécurité SmartScreen pour vérifier différents éléments et notamment si une signature SHA-1 est trouvée, un message est alors affiché en rouge dans le gestionnaire des téléchargements. Il s'intitule exactement : La signature de ce programme est endommagée ou n'est pas valide. (ou en Anglais The signature of this program is corrupt or invalid.). En dépit de cet avertissement, le fichier est bien enregistré sur le disque dur et il est possible de forcer son exécution en faisant un clic droit sur le fichier dans le gestionnaire puis en cliquant sur "Exécuter quand même".

En réalité, cet avertissement ne concerne que les fichiers ayant été signés par leur auteur avec une empreinte SHA-1 après la date du 01/01/2016. Tous les fichiers créés auparavant avec du SHA-1 restent considérés comme fiables par Microsoft qui ne peut évidemment pas demander à des millions d'éditeurs de signer de nouveau leurs programmes existants.

Pour rappel, les certificats numériques SSL/TLS basés sur l'algorithme SHA-1 et qui servent, eux, à chiffrer les pages web et non des fichiers exécutables téléchargés, sont aussi en cours de dépréciation sur Internet. Microsoft leur donne pourtant un peu de répit puisqu'ils ne seront reconnus comme non valides qu'à partir de juin 2016 par Internet Explorer et Edge (la date du 01/01/2017 était initialement prévue). De son côté, Google a déjà scellé le sort des certificats SSL/TLS SHA-1 depuis le 01/01/2016 pour les versions 39 et ultérieures du navigateur Chrome. Même chose pour Mozilla qui a toutefois constaté récemment trop de problèmes de compatibilité et qui a donc réintégré provisoirement le support de SHA-1 dans Firefox.

A noter que ni Chrome ni Firefox ne semblent effectuer la moindre vérification sur la signature SHA-1 des fichiers exécutables téléchargés comme le fait donc depuis quelques semaines le filtre SmartScreen de Microsoft.

Signalons enfin que certains éditeurs signent désormais leurs fichiers avec les deux types de certificats de manière à ce que les anciennes machines ne supportant pas le SHA-256 (comme Windows XP SP2) puissent continuer d'installer leurs applications. C'est notamment le cas de NVIDIA et du programme d'installation des derniers drivers graphiques GeForce R361 pour Windows XP.


Modérateur TLD
Par PIERRE02
Le 01/03/2016 à 17:58:27

Inscription : le 08/02/2012
La signature des fichiers téléchargés avec IE et Edge est endommagée ou non valide    Modifier le message   Configuration de PIERRE02
Oui c'est un petit problème il faut donc :

1 - Démarrer le téléchargement et sauvegarder "quelque part"
2 - Un fois le téléchargement terminé il y a l' alerte
3 - Si c'est un fichier exécutable qui a été téléchargé celui-ci ne peut être lancer il faut d' une part ne pas effacer le fichier et d' autre part aller voir dans le répertoire "quelque part" pour le retrouver
4 - Si on essaie de le lancer il y a encore une alerte " Windows a protégé votre ordinateur "
5 - A ce moment il faudra cliquer sur informations complémentaires et "exécuter quand même"

C'est un peu "casse pied" mais cela évitera sans doute qu' une quantité de néophytes ( ceux qui tirent sur tout ce qui bouge ) d' exécuter n'importe quoi ...
Par Julien
Le 01/03/2016 à 18:10:23



Inscription : le 16/02/2001
Localisation : Vitrolles
La signature des fichiers téléchargés avec IE et Edge est endommagée ou non valide    Modifier le message
L'avertissement est affiché dès la fin du téléchargement.

L'exécution peut être lancée (avec Exécuter quand même) depuis le navigateur ou plutôt depuis le gestionnaire de téléchargements (Ctrl+J). Pas besoin de se rendre dans l'explorateur donc.

Les contrôles UAC habituels s'appliquent ensuite en effet.

Je pense que la majrité des développeurs vont vite se rendre compte de ce problème et ne vont plus signer d'EXE avec seulement du SHA-1. Ce message devrait donc vite disparaître du paysage.

Modérateur TLD
Pages : 1


Retour sur le forum Commentaires des news

Identification

Nom d'utilisateur
Mot de passe

  Recevez vos identifiants par e-mail si vous les avez oubliés.
  Inscrivez-vous si vous n'êtes pas encore membre de TousLesDrivers.com.
 
Répondre au message La signature des fichiers téléchargés avec IE et Edge est endommagée ou non valide

   Message
      

   Insérer des smileys
    :)  ;)  :D  :P  :(  :?:
    Plus de smileys
    Lien N°1 / Lien N°2 / Puce / Gras / Italique / Souligné / Barré

   Merci de lire la FAQ avant d'ajouter un message.