Adobe a enquêté sur ce qui semble être une utilisation non appropriée d’un certificat de signature de code Adobe pour Windows. Nous avons révoqué le certificat concerné le 4 octobre 2012, et ce, pour tous les codes logiciels signés après le 10 juillet 2012.

Révocation du certificat concerné

Q : Pourquoi Adobe a-t-elle révoqué le certificat ?

R : Afin de préserver la confiance que les utilisateurs ont placée dans les logiciels Adobe, nous avons révoqué le certificat concerné le 4 octobre 2012, et ce, pour tous les codes logiciels signés après le 10 juillet 2012. Nous publions actuellement des mises à jour signées à l’aide d’un nouveau certificat numérique pour tous les produits concernés.

Qu’est-ce que la signature de code ?

Q : Qu’est-ce qu’un certificat de signature de code ?

R : Les certificats de signature de code permettent de signer numériquement des programmes logiciels. De nombreux développeurs de logiciels comme Adobe signent numériquement les programmes qu’ils créent afin de garantir à leurs clients que les programmes sont légitimes et qu’ils n’ont pas été modifiés.

Q : Comment fonctionne la signature de code ?

R : Les signatures numériques utilisent une technologie de cryptographie de clés publiques afin de sécuriser et d’authentifier les codes.

  1. Les développeurs ajoutent les signatures numériques à un code ou à du contenu à l’aide d’une clé privée unique à partir d’un certificat de signature de code.
  2. Lorsque l’utilisateur télécharge ou rencontre un code signé, le logiciel système ou l’application de l’utilisateur utilise une clé publique pour déchiffrer la signature.
  3. Le système recherche un certificat racine avec une identité qu’il approuve et reconnaît pour authentifier la signature.
  4. Le système compare ensuite le hachage utilisé pour signer l’application avec le hachage de l’application téléchargée.
  5. Si le système approuve la racine et si les hachages correspondent, le téléchargement ou l’exécution se poursuivent.
  6. Si le système n’approuve pas la racine ou si les hachages ne correspondent pas, le système interrompt le téléchargement en émettant un avertissement, ou bien le téléchargement échoue.

Q : un certificat de signature de code peut-il être utilisé à des fins autres que la signature de code ?

R : Non. Tous les certificats numériques portent un marquage qui limite l’utilisation que l’on peut en faire. Ce certificat en particulier ne peut être utilisé que pour signer numériquement des programmes. Ils ne peut pas être utilisé pour crypter des données, signer des documents ou des e-mails, ou entreprendre toute autre action en dehors de la signature de programmes.

Conséquences sur les clients : Sécurité

Q : Le certificat a-t-il été révoqué à la suite d’un problème de sécurité ou d’une anomalie d’un produit Adobe ?

R : Non. Ce problème n’a aucun impact sur la sécurité des logiciels Adobe authentiques.

Q : Existe-t-il d’autres risques pour les utilisateurs ?

A : Nous avons de bonnes raisons de penser que la grande majorité des utilisateurs n’est pas en danger. La faille n’a été détectée qu’une seule fois et nous possédons en effet des informations selon lesquelles le certificat n’a très vraisemblablement pas été utilisé pour la signature à grande échelle de logiciels malveillants se faisant passer pour des logiciels Adobe.

Q : Si mon logiciel n’est pas concerné par ce problème de vulnérabilité, pourquoi ai-je besoin de mettre à jour ?

R : Adobe publie actuellement des mises à jour pour tous les produits concernés afin de fournir aux utilisateurs un code logiciel signé utilisant un nouveau certificat numérique. Pour déterminer si une mise à jour signée à l’aide d’un nouveau certificat numérique est disponible pour l’installation de votre logiciel Adobe, reportez-vous à la section Mises à jour des certificats de sécurité.

Conséquences sur les utilisateurs : Révocation

Q : La révocation du certificat affecte-t-elle les logiciels Adobe installés sur toutes les plates-formes ?

R : Non. La révocation du certificat affecte la plateforme Windows et trois applications Adobe AIR* qui s’exécutent sous Windows et Mac OS. La révocation n’a aucun impact sur les autres logiciels Adobe pour Mac OS ou d’autres plateformes.

* Applications Adobe Muse, Adobe Story AIR et services de bureau Acrobat.com

Q : La révocation du certificat concerné a-t-elle une incidence sur les applications tierces d’Adobe AIR ?

R : Non. La révocation du certificat n’affecte que les applications AIR développées par Adobe et signées à l’aide du certificat de signature de code Adobe concerné. Adobe publie actuellement des mises à jour signées de ces applications signées avec un nouveau certificat de signature de code Adobe.

Q : Que se passera-t-il pour les utilisateurs qui installeront des logiciels Adobe signés à l’aide du certificat concerné une fois qu’il sera révoqué ?

R : Les clients ne devraient rien remarquer durant le processus de révocation du certificat. Toutefois, un certain nombre de clients, et notamment les administrateurs des environnements gérés de Windows, devront peut-être prendre des mesures. Pour déterminer si vous ou votre organisation êtes concernés, reportez-vous à la section Mises à jour des certificats de sécurité.

Q : Si les logiciels Adobe ne sont pas vulnérables et si les utilisateurs ne remarquent rien pendant le processus de révocation, pourquoi ai-je besoin de mettre à jour mon logiciel Adobe ?

R : Adobe publie actuellement des mises à jour pour tous les produits concernés afin de fournir aux utilisateurs un code logiciel signé utilisant un nouveau certificat numérique. Pour déterminer si une mise à jour signée à l'aide d'un nouveau certificat numérique est disponible pour l'installation de votre logiciel Adobe, reportez-vous à la section Mises à jour des certificats de sécurité.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne