Actualités
06/05/21 Le firmware 3B2QGXA7 restaure les performances du SSD Samsung 980 PRO
01/05/21 Quelques nouvelles sur les mises à jour Creative Sound Blaster [MAJ]
30/04/21 Les mises à jour promises par Creative pour les Sound Blaster Katana et X3 sont disponibles [MAJ]
30/04/21 Nouveau firmware pour les SSD OCZ TR200 et Toshiba XS700
30/04/21 Liste des bugs connus dans les drivers NVIDIA GeForce 466.27
30/04/21 Les mesures anti-minage étendues aux nouveaux GPU GeForce RTX à partir de mai 2021
30/04/21 Drivers NVIDIA GeForce 466.27 pour Metro Exodus PC Enhanced Edition
28/04/21 Le logiciel NVIDIA Quadro Experience devient le RTX Experience
23/04/21 Nouveaux drivers Force Feedback pour les volants Thrustmaster
23/04/21 Deux mises à jour successives pour le Freebox Server : SMBv2/v3 finalisés


Fichiers
06/05/21 AMD Install Manager 21.5.1
06/05/21 AMD Radeon Software 21.5.1 bêta
06/05/21 Samsung 980 PRO 3B2QGXA7
06/05/21 CORSAIR ONE a200/ONE PRO a200 Series C1.28
06/05/21 CORSAIR ONE i200 Series Core 11th Gen 1CG
05/05/21 SiliconDust HDHomeRun 20210501 build 1 bêta
05/05/21 NVIDIA RTX Desktop Manager 201.66
05/05/21 Leica SL2-S (Typ 9584) 2.0
05/05/21 FiiO UTWS3 0.2.53
04/05/21 AMD Chipset Drivers Embedded 2.16.12.341R WHQL
Accueil / Commentaires des news
Répondre Actualiser Rechercher S'inscrire ou s'identifier FAQ

Pages : 1

Par Julien
Le 01/03/2016 à 16:10:17



Inscription : le 16/02/2001
Localisation : Vitrolles
La signature des fichiers téléchargés avec IE et Edge est endommagée ou non valide
Plusieurs d'entre vous ont probablement remarqué qu'un avertissement de sécurité est affiché par les navigateurs Internet Explorer et Edge depuis quelques semaines lorsque l'on télécharge certains fichiers. Cela ne concerne d'ailleurs pas spécifiquement le téléchargement de pilotes depuis les serveurs de TLD mais bien l'ensemble du web. Que se passe-t-il ?

Conformément à ce que nous vous annoncions l'année dernière (voir l'actualité Ce qui va changer dès 2016 pour les certificats numériques), Microsoft a mis en place le 1 janvier 2016 sa nouvelle politique concernant les signatures numériques de fichiers. L'algorithme de hachage SHA-1 n'est en effet désormais plus considéré comme sûr par la majorité des acteurs du web et a été déprécié au profit du SHA-2 (SHA-256). Les autorités de certification ne proposent d'ailleurs plus aujourd'hui l'achat ce type de certificats numériques.

Concrètement, depuis le 01/01/2016 (ou plus exactement depuis le 12/01/2016 et la vague de mises à jour Windows du mois de janvier), les deux navigateurs de Microsoft (IE et Edge) affichent un avertissement pour prévenir l'utilisateur d'un risque potentiel lors du téléchargement d'un fichier exécutable dont la signature est de type SHA-1. Nous parlons bien ici de la signature des fichiers exécutables (Code Signing) et non de la signature (WHQL ou autre) des éventuels pilotes inclus.

A la fin du téléchargement, le navigateur lance le filtre de sécurité SmartScreen pour vérifier différents éléments et notamment si une signature SHA-1 est trouvée, un message est alors affiché en rouge dans le gestionnaire des téléchargements. Il s'intitule exactement : La signature de ce programme est endommagée ou n'est pas valide. (ou en Anglais The signature of this program is corrupt or invalid.). En dépit de cet avertissement, le fichier est bien enregistré sur le disque dur et il est possible de forcer son exécution en faisant un clic droit sur le fichier dans le gestionnaire puis en cliquant sur "Exécuter quand même".

En réalité, cet avertissement ne concerne que les fichiers ayant été signés par leur auteur avec une empreinte SHA-1 après la date du 01/01/2016. Tous les fichiers créés auparavant avec du SHA-1 restent considérés comme fiables par Microsoft qui ne peut évidemment pas demander à des millions d'éditeurs de signer de nouveau leurs programmes existants.

Pour rappel, les certificats numériques SSL/TLS basés sur l'algorithme SHA-1 et qui servent, eux, à chiffrer les pages web et non des fichiers exécutables téléchargés, sont aussi en cours de dépréciation sur Internet. Microsoft leur donne pourtant un peu de répit puisqu'ils ne seront reconnus comme non valides qu'à partir de juin 2016 par Internet Explorer et Edge (la date du 01/01/2017 était initialement prévue). De son côté, Google a déjà scellé le sort des certificats SSL/TLS SHA-1 depuis le 01/01/2016 pour les versions 39 et ultérieures du navigateur Chrome. Même chose pour Mozilla qui a toutefois constaté récemment trop de problèmes de compatibilité et qui a donc réintégré provisoirement le support de SHA-1 dans Firefox.

A noter que ni Chrome ni Firefox ne semblent effectuer la moindre vérification sur la signature SHA-1 des fichiers exécutables téléchargés comme le fait donc depuis quelques semaines le filtre SmartScreen de Microsoft.

Signalons enfin que certains éditeurs signent désormais leurs fichiers avec les deux types de certificats de manière à ce que les anciennes machines ne supportant pas le SHA-256 (comme Windows XP SP2) puissent continuer d'installer leurs applications. C'est notamment le cas de NVIDIA et du programme d'installation des derniers drivers graphiques GeForce R361 pour Windows XP.


Modérateur TLD
Par PIERRE02
Le 01/03/2016 à 17:58:27

Inscription : le 08/02/2012
La signature des fichiers téléchargés avec IE et Edge est endommagée ou non valide    Modifier le message   Configuration de PIERRE02
Oui c'est un petit problème il faut donc :

1 - Démarrer le téléchargement et sauvegarder "quelque part"
2 - Un fois le téléchargement terminé il y a l' alerte
3 - Si c'est un fichier exécutable qui a été téléchargé celui-ci ne peut être lancer il faut d' une part ne pas effacer le fichier et d' autre part aller voir dans le répertoire "quelque part" pour le retrouver
4 - Si on essaie de le lancer il y a encore une alerte " Windows a protégé votre ordinateur "
5 - A ce moment il faudra cliquer sur informations complémentaires et "exécuter quand même"

C'est un peu "casse pied" mais cela évitera sans doute qu' une quantité de néophytes ( ceux qui tirent sur tout ce qui bouge ) d' exécuter n'importe quoi ...
Par Julien
Le 01/03/2016 à 18:10:23



Inscription : le 16/02/2001
Localisation : Vitrolles
La signature des fichiers téléchargés avec IE et Edge est endommagée ou non valide    Modifier le message
L'avertissement est affiché dès la fin du téléchargement.

L'exécution peut être lancée (avec Exécuter quand même) depuis le navigateur ou plutôt depuis le gestionnaire de téléchargements (Ctrl+J). Pas besoin de se rendre dans l'explorateur donc.

Les contrôles UAC habituels s'appliquent ensuite en effet.

Je pense que la majrité des développeurs vont vite se rendre compte de ce problème et ne vont plus signer d'EXE avec seulement du SHA-1. Ce message devrait donc vite disparaître du paysage.

Modérateur TLD
Pages : 1


Retour sur le forum Commentaires des news

Identification

Nom d'utilisateur
Mot de passe

  Recevez vos identifiants par e-mail si vous les avez oubliés.
  Inscrivez-vous si vous n'êtes pas encore membre de TousLesDrivers.com.
 
Répondre au message La signature des fichiers téléchargés avec IE et Edge est endommagée ou non valide

   Message
      

   Insérer des smileys
    :)  ;)  :D  :P  :(  :?:
    Plus de smileys
    Lien N°1 / Lien N°2 / Puce / Gras / Italique / Souligné / Barré

   Merci de lire la FAQ avant d'ajouter un message.