La sécurité est au premier plan dans tous les domaines. Les installations ou mises à jour d'une application à partir d'un serveur du réseau local, ou via un serveur HTTPS en "liveupdate" n'échappent heureusement pas à la règle.

 


Les recommandations suivantes doivent être appliquées afin de ne pas déclencher les dispositifs de sécurité (antivirus, Microsoft Defender SmartScreen...) en place lors de l'installation ou la mise à jour d'une application :

 

  • Dans l'assistant de création de l'exécutable :
    • à l'étape "Sécurité" indiquer un manifeste adapté aux besoins de l'application :



    • à l'étape "Info de version", sélectionner un certificat pour signer l'exécutable :



      Le certificat de sécurité doit être émis par une autorité de confiance reconnue.
  • Dans l'assistant de création de l'installation, là également sélectionner le certificat à utiliser pour signer l'exécutable qui servira à installer, puis à mettre à jour l'application :



  • Dans l'assistant d'installation de la version de référence lorsque le déploiement se fait en HTTP, sélectionner le protocole HTTPS :



    Là également le certificat du serveur web qui héberge l'installation devra être délivré par une autorité de confiance reconnue.

  • Concernant le certificat utilisé pour les signatures, vérifier auprès de son émetteur sa validité en fonction des déploiements à effectuer. Un certificat auto-signé peut suffire à des déploiements internes. Pour un déploiement "grand public" via un serveur HTTPS, un certificat émis par une autorité de confiance reconnue et déclarée pour des systèmes tels que Microsoft SmartScreen sera indispensable.

 

Si l'ensemble de ces recommandations ne sont pas appliquées :

  • une solution telle que Microsoft Defender SmartScreen interdira le lancement. L'utilisateur devra effectuer plusieurs validations d'avertissements afin de contourner la sécurité, et autoriser le lancement de l'application :

     

  • La probabilité de déclencher un "faux-positif" d'un antivirus sera davatange élevée (cf FAQ 21549).

====== Mise à jour 31/3/2023 ======
Précision concernant le filtre SmartScreen de Windows Defender : en fonction du certificat utilisé pour signer, un déclenchement intempestif reste possible tant que la réputation de l'application n'est pas faite :

  • soit le certificat acquis auprès du prestataire est déjà validé auprès de SmartScreen,
  • soit le certificat sera reconnu lorsque suffisamment d'utilisateur auront autorisés quand même l'exécution comme le propose SmartScreen dans son dialogue.

La page suivante de l'éditeur détaille le sujet : Microsoft Defender SmartScreen.

< Retour

Publier un commentaire : 
Votre adresse email ne sera pas publiée