Provenance de vos logiciels : les bons reflexes à adopter


Provenance de vos logiciels : les bons réflexes à adopter

Retrouvez ci-dessous notre petit guide pratique et didactique sur la provenance des logiciels que vous utilisez.


Avant toute chose, trois pré-requis :

  • Installer uniquement des logiciels dont la source de téléchargement est sûre
  • Avoir confiance en l’éditeur 
  • Et bien sûr, avant tout téléchargement : installer un logiciel que s’il est absolument nécessaire.



Téléchargement d’un logiciel depuis un « Store»

Sous la plupart des OS de bureau (Linux, macOS et Windows) vous avez des « Store » pour trouver et installer des logiciels. Il est conseillé de d’abord les utiliser pour trouver votre logiciel. Pourquoi ? Sur certains OS, il y existe des vérifications (au niveau de la sécurité et du comportement) et les éditeurs doivent respecter des règles strictes lors du développement de leurs applications. Les logiciels se trouvent stockés sur les infrastructures du fournisseur des « Store ». Ces dépôts de logiciels sont plutôt très bien sécurisés et l’intégrité des logiciels s’en trouve garantie.Les « Store » les plus connus :

  • Logiciels (gnome-software) sous Linux (en mode graphique) avec l’environnement de bureau Gnome
  • App Store sous macOS
  • Windows Store sous Windows.

Remarque : Sous Linux (en mode graphique et en ligne de commande), il est conseillé de garder les dépôts configurés lors de l’installation et de n’ajouter que des dépôts maintenus et approuvés pour votre distribution Linux.

Téléchargement d’un logiciel depuis un « Store»

Téléchargement d’un logiciel depuis un site internet

  • Si vous êtes obligé de télécharger votre logiciel sur un site internet, il faut privilégier celui de l’éditeur. Vous allez ainsi télécharger un logiciel qui a moins de risques d’être modifié. Les logiciels se trouvant sur d’autres sites pourront contenir des publicités ou des logiciels malveillants. 
  • Si votre logiciel se trouve téléchargeable sur le site de l’éditeur, il est possible d’avoir sur certains sites une « empreinte » de l’installateur du logiciel. Vous allez pouvoir vérifier que vous avez bien téléchargé un installateur non modifié. Un installateur pourrait être altéré lors du téléchargement (à cause d’une interruption par exemple), ou si les serveurs de l’éditeur ont été corrompus. 

Par exemple vous téléchargez le logiciel « HandBrake » pour macOS (https://handbrake.fr/) :

logiciel « HandBrake » pour macOS
Téléchargement sur le site web d’HandBrake

  • Vous pouvez vérifier l’intégrité de l’installateur du logiciel (que vous venez de télécharger) sous macOS en ligne de commande :


=> MacBook-Pro-de-User:Downloads user$ shasum -a 1 HandBrake-1.0.7.dmg
6d2e5158f101dad94ede3d5cf5fda8fe9fd3c3b9 HandBrake-1.0.7.dmg 
=> MacBook-Pro-de-User:Downloads user$ shasum -a 256 HandBrake-1.0.7.dmg3cd2e6228da211349574dcd44a0f67a3c76e5bd54ba8ad61070c21b852ef89e2 HandBrake-1.0.7.dmg 

  • Vous pouvez vérifier l’intégrité de l’installateur du logiciel (que vous venez de télécharger) sous Linux en ligne de commande : 

=> user:~/Downloads$ sha1sum HandBrake-1.0.7.dmg
6d2e5158f101dad94ede3d5cf5fda8fe9fd3c3b9 HandBrake-1.0.7.dmg
=> user:~/Downloads$ sha256sum HandBrake-1.0.7.dmg3cd2e6228da211349574dcd44a0f67a3c76e5bd54ba8ad61070c21b852ef89e2 HandBrake-1.0.7.dmg 


Vérifier l’intégrité d’un fichier sous Windows en ligne de commande avec le logiciel File Checksum Integrity Verifier

Une fois installé Hashtab ajoute dans les propriétés du fichier un onglet permettant de vérifier et de comparer l’empreinte d’un fichier. Les autres algorithmes de hachage sont disponibles sur le lien paramètres.

Remarque : Ne surtout pas télécharger de logiciels de manière illégale car vous n’avez aucun moyen de vérifier l’intégrité de l’installateur. Il peut comporter des logiciels malveillants.

Vérification de l’éditeur

Il faut toujours vérifier l’éditeur même si cela provient d’un « Store ». Vous pouvez vérifier l’éditeur en allant sur son site internet ou taper le nom du logiciel et de l’éditeur dans votre moteur de recherche favoris pour voir sa réputation.Par exemple, sur le site de l’éditeur, vous pouvez regarder et vérifier les informations suivantes :

  • Pays
  • Numéro de SIRET (dans le cas d’une entreprise française)
  • Contacts de l’entreprise (par formulaire de contact, par mail, par téléphone)
  • Numéro pour contacter l’entreprise (Existe-t-il vraiment ? Est-ce qu’il fonctionne ? Est-ce qu’il n’est pas surtaxé ?)


Un dernier petit conseil pour la route : pensez à réaliser une sauvegarde avant d’installer le nouveau logiciel !
Gervais Coquil, Administrateur Systèmes Linux et Réseaux chez ipgarde

« Mieux vaut prévenir que guérir » : comprendre l’enjeu de la…
Journée Connec-T à la CCI de l'Ardèche
Séparateur footer