SSLmentor

Certificats TLS/SSL de qualité pour sites Web et projets Internet.

Certificat CODE

Certificat CODE

Certificat CODE Signing

Un certificat CODE, officiellement certificat Code Signing, est un certificat numérique utilisé pour signer des applications, des scripts, des pilotes et d'autres logiciels distribués sur internet. La signature numérique prouve qui a publié le logiciel et garantit que le code n'a pas été modifié depuis sa signature. Découvrons les certificats CODE.

Qu'est-ce qu'un certificat CODE ?

Un certificat Code Signing est un certificat numérique délivré à un éditeur de logiciels – une entreprise ou un développeur indépendant – par une autorité de certification (CA) de confiance. Alors qu'un certificat SSL/TLS sécurise la communication entre le navigateur et le serveur web, un certificat CODE sécurise le logiciel lui-même. Le développeur l'utilise pour apposer une signature numérique sur les fichiers exécutables, les installateurs, les scripts, les macros, les pilotes ou les firmwares avant leur distribution.

L'autorité de certification ne délivre un certificat CODE qu'après avoir vérifié l'existence de l'entreprise ou l'identité du développeur. Grâce à cette validation, la signature identifie clairement l'éditeur, et l'utilisateur comme le système d'exploitation peuvent être sûrs que le logiciel est authentique et n'a été modifié d'aucune manière pendant la distribution (Code signing – wiki).

CODE signing

Comment fonctionne la signature de code ?

La signature de code repose sur la cryptographie asymétrique, le même principe que celui utilisé par les certificats SSL. Le développeur possède une paire de clés – une clé privée et une clé publique. Lors de la signature, une empreinte unique (hash) du fichier de l'application est créée et chiffrée avec la clé privée du développeur. Le résultat, accompagné du certificat, est joint au fichier sous forme de signature numérique.

Lorsqu'un utilisateur télécharge l'application, le système d'exploitation vérifie la signature : il déchiffre l'empreinte à l'aide de la clé publique du certificat et la compare à l'empreinte réelle du fichier. Si elles correspondent, le code est intact et provient bien de l'éditeur indiqué dans le certificat. Si un seul octet de l'application a été modifié, la vérification échoue et le système avertit l'utilisateur.

Un logiciel non signé est aujourd'hui pratiquement impossible à distribuer. Les mécanismes de sécurité de Microsoft tels que Defender SmartScreen et Smart App Control bloquent sans compromis les applications téléchargées non signées et mettent en garde les utilisateurs contre leur exécution. Un certificat CODE est donc un outil indispensable pour toute entreprise de logiciels et tout développeur.

La signature du code ne modifie pas le logiciel lui-même. Elle ne fait qu'ajouter la signature numérique au fichier exécutable. Un élément important de la signature est l'horodatage (timestamp), qui prouve que le code a été signé pendant la période de validité du certificat. Une signature horodatée reste fiable même après l'expiration du certificat lui-même.

Pourquoi signer votre logiciel ?

Tout éditeur de logiciels qui distribue du code ou du contenu sur internet a besoin d'un certificat CODE. Les codes distribués au sein d'une entreprise via l'intranet devraient également être signés en raison des politiques des systèmes d'exploitation comme Windows et macOS. Tous les systèmes modernes privilégient le code signé afin de protéger les utilisateurs et d'empêcher la propagation de logiciels malveillants.

Avantages d'un certificat CODE
  • Prouve l'identité de l'éditeur du logiciel
  • Garantit l'intégrité du code – le logiciel n'a pas été modifié
  • Supprime les avertissements « Éditeur inconnu » lors de l'installation
  • Protège votre nom et votre marque contre l'utilisation abusive pour des logiciels contrefaits
  • Augmente la confiance des utilisateurs, les téléchargements et les ventes
  • Fonctionne pour les applications Windows et macOS
Ce qu'un certificat CODE ne fait pas
  • Il ne chiffre pas l'application ni ses données
  • Il ne garantit pas que le code est exempt de bugs
  • Il ne remplace pas un certificat SSL pour votre site web
  • Il ne crée pas instantanément une réputation SmartScreen

Types de certificats CODE

Les certificats CODE se distinguent par le niveau de validation de l'éditeur. Contrairement aux certificats SSL, il n'existe pas de variante à validation de domaine – l'autorité de certification vérifie toujours le demandeur.

Standard Code Signing (OV)

Le certificat Code Signing standard avec validation d'organisation (OV) est délivré aux entreprises et aux organisations. L'autorité de certification vérifie l'existence de l'entreprise dans les registres publics, son adresse et l'habilitation du demandeur. La signature affiche ensuite le nom vérifié de l'entreprise comme éditeur (CN).
Le certificat CODE le plus vendu aujourd'hui est le certificat Cloud CODE de l'autorité de certification Certum.

Code Signing pour les particuliers

Les développeurs indépendants sans entreprise enregistrée peuvent obtenir un certificat Code Signing pour développeur individuel. L'autorité de certification vérifie l'identité du développeur à l'aide d'une pièce d'identité. La signature affiche ensuite le nom vérifié du développeur comme éditeur. Ce certificat CODE possède des propriétés identiques au Standard Code Signing

EV Code Signing

Les certificats EV Code Signing offrent le niveau de validation d'entreprise le plus élevé et étendu (Extended Validation). Ils sont requis pour signer les pilotes en mode noyau (kernel-mode) et les composants système pour Microsoft Windows. Ils sont principalement destinés aux développeurs de matériel, aux développeurs de logiciels système et aux organisations qui exigent le niveau de validation d'entreprise le plus élevé.

Certificats CODE et Windows SmartScreen

Microsoft Defender SmartScreen est une technologie basée sur la réputation qui protège les utilisateurs de Windows lors du téléchargement de fichiers sur internet. Si une application ne dispose pas d'une réputation suffisante, SmartScreen affiche un avertissement avant son exécution – même si l'application est signée. La réputation se construit avec le nombre d'installations et est liée non seulement au logiciel lui-même, mais aussi au certificat Code Signing utilisé pour la signature.

Une fois la réputation établie et lorsque les installations passent SmartScreen automatiquement, les nouvelles versions de l'application peuvent être signées avec le même certificat CODE et tout fonctionne sans accroc. En revanche, avec un certificat nouveau ou renouvelé, la réputation doit être reconstruite.

Par le passé, les certificats EV Code offraient une réputation SmartScreen immédiate. À la suite des mises à jour de sécurité de Windows publiées au printemps 2026, Microsoft a modifié ses politiques et traite désormais les certificats EV Code de la même manière que les certificats OV standard – la réputation doit également être construite pour les certificats EV Code Signing. Plus de détails sur la page Filtre Windows SmartScreen.

Cloud Code Signing

Étant donné que la clé privée d'un certificat CODE doit être stockée sur du matériel certifié, les autorités de certification livraient traditionnellement les certificats sur des tokens USB physiques. Cloud Code Signing supprime cette complication : la clé privée est générée et stockée dans l'infrastructure HSM sécurisée de l'autorité de certification, et le développeur signe le code à distance – depuis n'importe où, immédiatement après l'émission du certificat et sans attendre la livraison d'un token.

Selon les exigences du CA/Browser Forum, la clé privée d'un certificat CODE doit être stockée sur du matériel certifié (un token physique ou un module HSM). C'est pourquoi les certificats CODE modernes sont délivrés principalement sous forme de certificats cloud, où la clé est stockée en toute sécurité dans le HSM de l'autorité de certification et où le développeur signe à distance – sans expédition de token et sans matériel à gérer.

Un exemple typique est le service Certum SimplySign, où la signature est autorisée via une application mobile et fonctionne avec des outils standard comme Microsoft SignTool. Certains certificats Cloud CODE peuvent être intégrés dans des pipelines de build CI/CD, ce qui en fait un choix pratique et économique pour les développeurs d'aujourd'hui.

Les certificats CODE sur le projet SSLmentor

Sur notre site, vous trouverez des certificats CODE Signing fiables des autorités de certification mondialement reconnues DigiCert, Sectigo et Certum. Pour la plupart des développeurs, nous recommandons les certificats Cloud Code de l'autorité de certification européenne Certum, que nous proposons au meilleur prix du marché.

Retour à l'aide
Vous avez trouvé une erreur ou vous ne comprenez pas quelque chose ? Écrivez-nous !

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum