Re: [EGD-discu] Signature installateur windows

[Marcel Schneider <bkn.ema@xxxxxxxxx>]

Sous Windows Seven, dans les propriétés de fichier, un avertissement avec un bouton [Débloquer] apparaît chez moi dès que mes propres fichiers ont été reçus par internet – téléchargement, voire mail – mais disparaît complètement après un clic sur ce bouton (d’abord grisé, puis effacé à la réouverture des propriétés du fichier). Sur la capture ci-jointe, je l’avais déjà fait pour le setup.exe, alors pour faire la capture j’ai dû prendre l’un des .msi. (Cette dispo est une vieille de chez moi, reprise juste pour faire le test.)

J’ai été hyper perplexe quand suite au témoignage d’A2 j’ai testé l’installation d’un des claviers cités, puis d’un vieux téléchargé depuis mon site et qui pourtant justement avant s’installait sans avertissement quand il restait en local, ne provenant pas « d’un autre ordinateur » comme cela s’appelle…

Est-ce que Windows 10 ne se cabre plus si l’utilisatrice ou l’utilisateur commence par ouvrir les propriétés et clique sur ce fameux bouton S’IL EXISTE sous Windows 10 ? Si c’est deux fois oui, il reste à passer le tuyau dans les Lisez-moi, les Aides, et sur le site du bépo !

Marcel

> Message du 15/03/16 23:41
> De : "A2" 
> A : discussions@xxxxxxxxxxx
> Copie à : 
> Objet : Re: [EGD-discu] Signature installateur windows
> 
>
C'est Win10 avec la personnalisation par défaut au 1er démarrage qui met le smartscreen on, cf screenshot joint en lançant setup.exe du pilote Galéron (kbfrv-gg). Le plus drôle c'est que ces installeurs sont fait avec les outils Microsoft. Le serpent se mord la queue.

>
– A2


>
Le 15 mars 2016 à 22:18, Mélanie (ariasuni) 
a écrit :
>
Affiché où? Dans un navigateur? J’ai installé le bépo sur plusieurs versions de Windows et je ne me souviens pas avoir rencontré «de gros bandeaux rouges».
> 
> On 15/03/2016 18:38, A2 wrote:
> 
Petit retour d'expérience qui tombe à point : hier j'ai voulu aider une
> néophyte a avoir un simple azerty win enrichi sous Windows (10
> familial), après 2 h, toujours pas moyen d'installer le pilote Galéron,
> ni le pilote Liégeois, ni même télécharger PKL Galéron… À chaque fois
> des gros avertissements en rouge, « ne pas exécuter » comme seule
> option, ou un blocage au téléchargement. Et il faut croire que les
> bandeaux rouges d'avertissements sont psychologiquement très efficaces
> car je n'ai pas réussi à faire faire ce que je voulais. On comprend que
> la modification de pilotes non signées puisse émette un avertissement de
> ce genre, mais ça m'inquiète tout de même de savoir les utilisateurs win
> les plus à plaindre niveau dispo fr sont cantonnés à l'azerty win
> basique car les rares échappatoires sont « tagés en rouge » par Microsoft…
> 
> Le pilote win bépo n'est effectivement pas signé et envoie les mêmes
> avertissements… red alert.
> 
> – A2
> 
> Le 15 mars 2016 à 16:28, Julien Blanc  > a écrit :


> 
>     Le 15/03/2016 09:53, Mimoza a écrit :
> 
>         Salut
>         Pas pour … en tous cas pas tout de suite.
>         Le simple fait de venir sur le site pour cela montre que la
>         personne est familière avec l'outil informatique, du moins un
>         minimum, donc comprendra très bien pourquoi l’exécutable n'est
>         pas signé.
> 
> 
>     Là je ne te suis pas. Au contraire, je pense que c’est plus choquant
>     pour quelqu’un de familier avec l’outil informatique (le néophyte va
>     voir un gros avertissement, et cliquer « je m’en fous », comme il
>     fait toujours dans ces cas là).
> 
>     Perso, ça ne me réjouis pas d’imaginer que l’installateur a été
>     potentiellement corrompu :
>     - directement sur le site
>     - pendant le transfert
> 
>     (les deux cas existent, pour le deuxième, télécharger à travers tor
>     (ainsi qu’à tord et à travers, d’ailleurs :) ) est un bon moyen
>     d’avoir le problème).
> 
>         Si elle se donne la peine de lire les message d'info et ne
>         clique pas frénétiquement sur Ok/Suivant comme font 90% des gens.
> 
> 
>     Aujourd’hui elle n’a aucun moyen de vérifier (il me semble qu’on ne
>     donne même pas un md5 du fichier).
> 
>         Ensuite si l'on sort une nouvelle version de la dispo pour la
>         normalisation il es urgent d'attendre.
> 
> 
>     Il me semble que le certificat certum permet de signer plusieurs
>     exécutables (càd qu’on ne repaie pas pour chaque version, mais
>     plutôt pour une durée) — à vérifier cela dit.
> 
>         Perso, payer un inconnu pour qu'il dise que tu es bien toi m'a
>         toujours paru aberrent … mais bon.
> 
> 
>     À minima le tiers s’engage sur le fait qu’il a fait une vérification
>     (dans le cas présent, l’email). C’est toujours un plus par rapport à
>     ne rien avoir.
> 
>     Julien
> 
>     PS : je viens de penser que potentiellement, tuxfamily pouvait avoir
>     déjà l’infrastructure / les certificats pour signer. Ça pourrait
>     être une autre solution.
> 
> 
>     --
>     Pour ne plus recevoir les messels de cette liste de discussion,
>     envoyez un messel avec pour destinataire
>     discussions-REQUEST@xxxxxxxxxxx
>

     et pour sujet "unsubscribe".
>


> -- 
> Pour ne plus recevoir les messels de cette liste de discussion, envoyez un messel avec pour destinataire discussions-REQUEST@xxxxxxxxxxx et pour sujet "unsubscribe".
> 
>




>

>
> [ smartscreen.jpg (53.7 Ko) ]

Attachment: blocage_annot.png
Description: PNG image