Certificats et signatures de pilotes sous Windows : un guide complet

Sous Windows, le Les contrôleurs et leurs signatures numériques Ils sont devenus un élément clé de la sécurité des systèmes. Au-delà du simple fait de permettre le fonctionnement d'une imprimante, d'une carte graphique ou d'une carte à puce, il est aujourd'hui essentiel que le système puisse vérifier l'authenticité et l'intégrité du logiciel, ainsi que sa provenance d'un fournisseur fiable.

Si vous avez déjà rencontré des messages comme « Windows ne peut pas vérifier l’éditeur de ce logiciel pilote. » Ou encore les erreurs liées aux certificats lors de l'installation d'un pilote : vous savez à quel point cela peut être frustrant. Dans cet article, nous allons détailler le fonctionnement de la signature des pilotes sous Windows (en mode noyau et en mode utilisateur), les exigences qui varient selon la version de Windows, comment signer vos propres pilotes et comment désactiver la vérification de signature en toute sécurité lorsque vous n'avez pas d'autre choix.

Qu’est-ce que la signature des pilotes sous Windows et pourquoi est-elle si importante ?

L'appel signature du conducteur Cela consiste simplement à associer une signature numérique (basée sur des certificats) à un package de pilotes. Cette signature est généralement appliquée au fichier catalogue du package (.CAT) ou directement aux fichiers binaires du pilote (.SYS, .DLL, etc.) grâce à des techniques de signature intégrée.

Lors de l'installation du périphérique, Windows utilise ces signatures numériques pour deux éléments clésLe système vérifie l'intégrité du package, c'est-à-dire qu'il n'a pas été modifié depuis sa signature, et confirme l'identité de l'éditeur du logiciel (éditeur du pilote). En cas d'anomalie, un avertissement s'affiche ; dans les cas les plus stricts, l'installation ou le chargement du pilote est bloqué.

Dans les versions 64 bits de Windows Vista et ultérieures, Microsoft a introduit une politique assez claire : Tous les pilotes en mode noyau doivent être signés Pour pouvoir se charger, à quelques rares exceptions près. Cela place les pilotes dans la même catégorie de sécurité que le reste des binaires système, car une défaillance au niveau du noyau peut compromettre totalement le système.

Les règles sont devenues plus strictes avec le tempsÀ partir de Windows 10 version 1507, tous les pilotes signés par l'intermédiaire de Centre de développement de matériel Microsoft La signature avec SHA-2 est obligatoire. L'ancien SHA-1 est devenu obsolète pour des raisons de sécurité cryptographique, et Microsoft l'a progressivement supprimé de l'ensemble de son écosystème.

Un détail important : les binaires de pilotes en mode noyau signés avec des certificats doubles (SHA-1 + SHA-2) émis par des entités autres que Microsoft peuvent présenter des problèmes. systèmes antérieurs à Windows 10…voire provoquer des plantages sous Windows 10 et versions ultérieures. Pour éviter cela, Microsoft a publié la mise à jour KB3081436, qui inclut les hachages de fichiers corrects et corrige le comportement de chargement dans ces cas.

Aperçu de la signature des pilotes sous Windows

Pour bien comprendre comment tout cela fonctionne, il est utile de séparer les concepts. D'une part, il y a le signature du code du pilote (mode noyau ou mode utilisateur) et, d'autre part, les exigences de signature pour l'installation des périphériques Plug and Play (PnP). Bien qu'intimement liées, ces exigences ne sont pas identiques : un pilote peut être correctement signé au niveau binaire sans pour autant satisfaire à certaines exigences d'installation supplémentaires.

Microsoft propose une documentation spécifique sur Signatures numériques pour les modules du noyau dans les systèmes Windows Vista et versions ultérieuresCe document détaille les certificats valides, la méthode de construction des chaînes de confiance et les algorithmes de hachage pris en charge (actuellement SHA-2). Pour les pilotes transmettant du contenu protégé (audio et vidéo avec DRM, PUMA, PAP, PVP-OPM, etc.), des exigences spécifiques de signature de code s'appliquent également afin de protéger le contenu multimédia.

En ce qui concerne le flux de publication, il existe aujourd'hui plusieurs façons de Soumettez les pilotes au portail matériel MicrosoftPour les pilotes de production, la méthode standard consiste à exécuter des tests avec HLK ou l'ancien HCK, puis à téléverser le fichier binaire et les journaux de test. Pour les applications clientes sous Windows 10, la signature électronique peut être utilisée, ce qui réduit le besoin de tests automatisés tout en conservant la validation et la signature par Microsoft.

L'option de signature de test Conçus pour le développement et les tests internes, ces pilotes utilisent des certificats non publics ou émis par une infrastructure à clés publiques (PKI) privée. Ils ne se chargeront que si le système est configuré en mode test ou avec des politiques spécifiques autorisant les pilotes de test.

Exceptions et contrôleurs à signature croisée

Dans les versions intermédiaires de Windows 10, on appelle « contrôleurs à signature croisée » Les pilotes à signature croisée restent autorisés sous certaines conditions. Il s'agit de pilotes signés par le fournisseur avec un certificat Authenticode lui-même lié à un certificat intermédiaire signé par Microsoft, ce qui permet de contourner le processus complet du portail matériel.

Microsoft prévoit plusieurs exceptions pour éviter que les systèmes déjà déployés ne rencontrent des problèmes de démarrage. Les pilotes à signature croisée sont autorisés dans les situations suivantes : L'ordinateur a été mis à niveau d'une version antérieure de Windows vers Windows 10 version 1607., L' Botte Le démarrage sécurisé est désactivé dans le BIOS/UEFI ; ou le pilote est signé avec un certificat émis avant le 29 juillet 2015 qui est lié à une autorité de certification croisée prise en charge.

Afin de réduire le risque de rendre le système inutilisable, contrôleurs de démarrage Ces pilotes ne sont pas bloqués même s'ils ne respectent pas les nouvelles règles, mais l'Assistant de compatibilité des programmes peut les signaler et suggérer leur suppression ou leur remplacement. L'objectif est d'éviter de perturber le démarrage du système, tout en supprimant progressivement les pilotes non conformes.

exigences de signature de la version Windows

Les exigences en matière de signature varient selon le version spécifique du système d'exploitation et si le système utilise le démarrage sécurisé. De manière générale, le tableau des politiques de signature pour les éditions client peut être résumé comme suit :

• Windows Vista et Windows 7et également Windows 8+ avec le démarrage sécurisé désactivéPour les certificats 64 bits, une signature est requise, contrairement aux certificats 32 bits où elle n'était pas obligatoire. La signature peut être intégrée au fichier ou à un catalogue associé, et l'algorithme requis est SHA-2. La chaîne de certificats doit se terminer par des racines de confiance standard pour garantir l'intégrité du code.
• Windows 8 et 8.1, et Windows 10 versions 1507 et 1511 avec le démarrage sécurisé activéLes pilotes 32 bits et 64 bits nécessitent tous deux une signature. La signature intégrée ou par catalogue reste autorisée, utilisant SHA-2 et s'appuyant sur des racines standard pour garantir l'intégrité du code.
• Windows 10 versions 1607, 1703 et 1709 avec démarrage sécuriséL'exigence est renforcée et les signatures doivent être ancrées à des certificats racine Microsoft spécifiques (Microsoft Traitement Autorité 2010, Autorité de certification racine Microsoft et Autorité racine Microsoft).
• Windows 10 version 1803 et ultérieures avec démarrage sécurisé: les mêmes exigences de signature ancrées aux autorités racine Microsoft susmentionnées sont maintenues, pour les systèmes 32 bits et 64 bits.

Outre la signature du code du pilote, le package doit également être conforme à les exigences de signature pour l'installation des périphériques PnPCela signifie que les fichiers .INF, les catalogues et les binaires doivent être correctement liés et reflétés dans la signature du programme d'installation du périphérique (et le Administrateur de l'appareil) les considérer comme valides.

Il existe également des types spéciaux de conducteurs, tels que ELAM (Anti-Malware à lancement anticipé)qui sont chargés très tôt dans le processus de démarrage pour protéger le système de malware de bas niveau. Ces pilotes ont des exigences supplémentaires en matière de signature et de certification, documentées dans le guide antimalware de démarrage précoce.

Signature d'un pilote pour Windows 10, Windows 8.x et Windows 7

Si vous êtes développeur de pilotes ou travaillez dans un environnement où des pilotes personnalisés sont distribués, vous devez vous conformer à la Programme de compatibilité matérielle Windows (WHCP) en utilisant les outils appropriés pour chaque version : HLK pour Windows 10 et HCK pour les versions antérieures.

Dans le cas de Windows 10, le processus typique serait le suivant : télécharger le Kit de laboratoire matériel (HLK) Pour chaque version de Windows 10 que vous souhaitez prendre en charge, installez l'environnement de test et effectuez une certification complète sur un client exécutant cette version. Chaque exécution générera un journal de test.

Si vous avez testé le pilote dans plusieurs versions, vous obtiendrez plusieurs journaux. C'est normal. combiner tous les journaux Un seul rapport, utilisant la dernière version de HLK, simplifie la soumission au portail matériel et permet à une seule entreprise de couvrir plusieurs versions système.

Une fois les registres obtenus, vous envoyez le fichier binaire du contrôleur et les résultats HLK combinés à Panneau du Centre de développement matériel WindowsVous choisissez ensuite le type de signature souhaité (par exemple, production, attestation, etc.), configurez les propriétés de l'envoi et attendez que le processus automatique de Microsoft génère les catalogues signés et vous renvoie le colis déjà certifié.

Une approche similaire est suivie pour Windows 7, Windows 8 et Windows 8.1, mais en utilisant Kit de certification matérielle (HCK) Adapté à chaque version, ce kit fait l'objet d'un guide utilisateur fourni par Microsoft qui décrit le processus de test, de validation et de déploiement.

Signature des pilotes pour les versions antérieures à Windows 10 version 1607

Avant l'arrivée de Windows 10 version 1607, de nombreux types de pilotes nécessitaient un Certificat authentique Associée à une certification croisée Microsoft, cette technique, appelée signature croisée, permettait aux fabricants de signer leurs pilotes et de les faire accepter par Windows comme s'ils étaient « bénéficiés » par l'infrastructure de Microsoft.

Parmi les contrôleurs qui exigeaient ce modèle de signature figuraient les pilotes de périphériques en mode noyauCes pilotes comprennent les pilotes en mode utilisateur qui interagissent étroitement avec le noyau et les pilotes utilisés pour lire ou traiter les contenus protégés (audio et vidéo protégés par DRM). Ces derniers incluent les pilotes audio basés sur PUMA ou PAP, ainsi que les pilotes vidéo qui gèrent la protection de la sortie (PVP-OPM).

La signature de code pour les composants multimédias protégés possède ses propres directives, car la chaîne de confiance et les extensions de certificat doivent garantir que le contenu protégé ne puisse pas être facilement intercepté ou manipulé.

Utilisation pratique de SignTool pour signer des pilotes en mode noyau (Windows 7 et 8)

Concrètement, l'outil principal pour la signature de fichiers binaires sous Windows est Outil de signature, inclus dans le SDK Windows. Pour les pilotes en mode noyau sous Windows 7 et 8, plusieurs options sont particulièrement utiles pour la signature et la vérification.

Parmi les paramètres les plus importants de SignTool, on trouve : /ac pour ajouter un certificat supplémentaire (tel que le certificat croisé Microsoft)/f pour indiquer le fichier contenant le certificat de signature (par exemple, un .pfx), /p pour le mot de passe de ce PFX, /fd pour spécifier l'algorithme de hachage (par exemple, /fd sha256 pour forcer SHA-256, puisque SHA-1 est la valeur par défaut historique).

Ce paramètre est également fondamental /n «Nom commun du certificat»Cela vous permet de sélectionner le certificat approprié dans le magasin de certificats Windows à l'aide de son nom commun. Pour ajouter des horodatages, vous pouvez utiliser l'option /t avec un serveur Authenticode classique ou l'option /tr avec un serveur conforme à la RFC 3161, qui est l'option la plus moderne et recommandée.

Une méthode possible consisterait à rassembler les fichiers binaires du pilote dans un répertoire de travail, voire à tout copier dans le dossier bin du SDK Windows. Ensuite, on obtient le certificat de signature de code et, si nécessaire, le Certification croisée Microsoft (Par exemple, le certificat CrossCert correspondant à l'autorité de certification qui a émis votre certificat). Ces deux fichiers sont placés dans le même répertoire que celui à partir duquel vous exécuterez SignTool.

Une fois tout prêt, la commande d'exemple pourrait ressembler à ceci : outil de signature signer /ac CrossCert.crt /f CodeSign.pfx /p password1234 /fd sha256 /tr http://timestamp.globalsign.com/tsa/r6advanced1 filter.sysCela génère une signature moderne avec SHA-256, inclut la certification croisée et ajoute un horodatage RFC 3161, essentiel pour que la signature reste valide même après l'expiration du certificat.

Une fois signé, il est recommandé de vérifier avec une commande comme signtool vérifier -v -kp filtre.sysL'option `-v` affiche des informations détaillées, tandis que `-kp` vérifie la signature par rapport aux critères des pilotes en mode noyau. Si le résultat indique que la signature est valide et que la chaîne de confiance aboutit à une racine acceptée, le pilote est prêt à être déployé.

Il est important de noter que, dans de nombreux cas, le fichier catalogue (.CAT) est également signé. Le processus se répète : le fichier .CAT est signé, vérifié et, une fois que tout est en ordre, le pilote est installé normalement sur le système.

Signature pour l'attestation et la création des dossiers CAB

Microsoft propose signature valant attestation Il s'agit d'une méthode relativement simple pour distribuer des pilotes, notamment sur les systèmes clients Windows 10. Le fournisseur est responsable de la conformité du pilote aux exigences, tandis que Microsoft se limite à la validation et à la signature, évitant ainsi l'ensemble des tests HLK dans certains cas.

Pour envoyer un contrôleur par attestation, un Fichier CAB qui regroupe les composants essentiels du package. Un CAB typique comprend le pilote binaire lui-même (.SYS), le fichier INF (.INF) que Windows utilisera lors de l'installation, les symboles de débogage (.PDB) pour l'analyse des erreurs et parfois des catalogues .CAT que Microsoft utilisera comme référence pour vérifier la structure (bien qu'il génère ensuite ses propres catalogues pour la distribution finale).

Sa création est simple : tous les fichiers à signer sont rassemblés dans un seul répertoire, par exemple C:\Echo. Depuis une fenêtre de commandes Avec les privilèges d'administrateur, l'aide de MakeCab est consultée pour voir ses options et un fichier DDF est préparé avec les directives nécessaires indiquant quels fichiers seront compressés, quel cabinet sera généré et dans quels sous-dossiers ils doivent être organisés au sein du CAB.

Dans l'exemple du contrôleur Echo, le fichier DDF pourrait définir le nom de sortie sur Echo.cab, activer la compression MSZIP et définir un répertoire de destination (DestinationDir=Echo) afin d'éviter la présence de fichiers non compressés à la racine du fichier CAB. Ensuite, les chemins complets vers Echo.inf et Echo.sys sont indiqués pour que MakeCab les inclue.

Une fois le DDF prêt, vous exécutez une commande comme celle-ci : MakeCab /f Echo.ddfL'outil affichera le nombre de fichiers inclus, le taux de compression atteint et le dossier (généralement Disque 1) où le fichier CAB résultant a été enregistré. Ouvrez simplement le fichier Echo.cab avec l'Explorateur de fichiers pour vérifier qu'il contient tous les éléments attendus.

Signez le CAB avec un certificat de véhicule électrique et envoyez-le au Centre des partenaires

Avant de télécharger le package sur le portail matériel Microsoft, il est normal de Signer le CAB avec un certificat EV (Validation étendue)Ces certificats, plus rigoureux dans la validation de l'entité, offrent une confiance accrue et sont souvent exigés pour certains types de signatures.

Le processus varie légèrement selon le fournisseur de certificats EV, mais l'idée générale est d'utiliser à nouveau SignTool, cette fois-ci en ciblant le CAB. Une commande typique pourrait être : SignTool sign /s MY /n « Nom de l'entreprise » /fd sha256 /tr http://sha256timestamp.ws.symantec.com/sha256/timestamp /td sha256 /v C:\Echo\Disk1\Echo.cab, qui ajoute une signature SHA-256 avec un horodatage SHA-256 au cockpit.

Après votre inscription, vous aurez accès à Centre des partenaires MicrosoftAccédez au panneau Matériel et connectez-vous avec les identifiants de votre organisation. Sélectionnez ensuite l'option « Soumettre du nouveau matériel », téléchargez le fichier CAB signé et renseignez les propriétés de soumission : nom du produit, type de signature requis, signature de test ou signature de production uniquement, etc.

Il est important N’activez pas les options de signature de test Si vous recherchez un pilote de production, dans la section des signatures requises, vous choisissez les variantes que vous souhaitez inclure dans le package (par exemple, les signatures pour différentes versions de Windows ou architectures).

Une fois le formulaire rempli, cliquez sur Soumettre et laissez le portail traiter le package. Lorsque Microsoft aura terminé la signature du pilote, le panneau indiquera que la soumission a été traitée et vous permettra de… Téléchargez le pilote déjà signé, généralement accompagné des catalogues et métadonnées nécessaires à sa distribution.

Vérifiez que le contrôleur est correctement signé.

Une fois le paquet téléchargé, il est temps de vérifier que tout est en ordre. La première étape consiste à extraire les fichiers du paquet vers un dossier temporaire et à ouvrir une fenêtre d'invite de commandes avec privilèges d'administrateurÀ partir de là, vous pouvez utiliser SignTool pour vérifier les signatures appliquées aux fichiers binaires clés.

Une commande de base serait SignTool vérifie Echo.sysqui vérifie rapidement la validité de la signature. Pour une vérification plus approfondie, vous pouvez utiliser SignTool vérifier /pa /ph /v /d Echo.sysoù /pa indique que la politique Authenticode doit être utilisée, /ph ajoute une vérification de hachage et /v génère une sortie détaillée avec toutes les informations de la chaîne de certificats.

Pour consulter les utilisations étendues de la clé (EKU) du certificat utilisé pour la signature, vous pouvez utiliser l'Explorateur Windows : cliquez avec le bouton droit sur le fichier binaire, sélectionnez Propriétés, accédez à l'onglet « Signatures numériques », sélectionnez l'entrée concernée et cliquez sur « Détails ». Dans la fenêtre « Afficher le certificat » et l'onglet « Détails », vous pouvez examiner le champ « Utilisations étendues de la clé » pour vérifier qu'il inclut les extensions appropriées pour la signature de code ou la signature de pilotes.

Le processus interne de certains flux de signature implique que Microsoft Réinsérez votre propre signature SHA-2 Dans le fichier binaire, les signatures appliquées par le client sont supprimées si elles ne sont pas conformes aux politiques en vigueur. Un nouveau fichier catalogue signé par Microsoft est également généré, remplaçant ainsi les fichiers .CAT précédents envoyés par le fournisseur.

Test et installation du pilote sous Windows

Une fois le pilote signé, il reste à vérifier son installation et son bon fonctionnement sur le système cible. À partir d'une console d'administration, des outils tels que [insérer le nom des outils ici] peuvent être utilisés. devcon pour automatiser l'installation. Par exemple, si le paquet contient un fichier echo.inf qui définit un périphérique root\ECHO, il suffirait d'exécuter devcon installer echo.inf root\ECHO dans le dossier approprié.

Au cours de ce processus, si tout est correctement signé, Les publicités ne devraient pas apparaître Des messages tels que « Windows ne peut pas vérifier l'éditeur de ce pilote » peuvent s'afficher. Si tel est le cas, cela indique un problème de conformité au niveau de la chaîne de confiance ou des catalogues. Il est alors conseillé de vérifier les signatures et les certificats racine installés sur le système.

Dans des scénarios plus complexes, il est possible de créer expéditions avec plusieurs contrôleursPour ce faire, la méthode habituelle consiste à créer des sous-dossiers distincts dans l'arborescence des fichiers, un pour chaque package de pilotes (DriverPackage1, DriverPackage2, etc.), et à ajuster le fichier DDF afin que chaque ensemble de fichiers .SYS et .INF soit placé dans son propre sous-dossier au sein du CAB. MakeCab assemble ensuite le tout dans un seul CAB prêt à être soumis au portail.

Signatures du conducteur du point de vue de l'utilisateur

Du point de vue de l'utilisateur final, la signature du conducteur est perçue comme une Filtre de sécurité intégré à WindowsComme pour les applications signées, l'objectif est que l'utilisateur sache que le logiciel provient d'une source légitime et n'a pas été modifié. Cependant, dans le cas des pilotes, cette exigence est plus forte car ils fonctionnent avec un niveau de privilège très élevé.

Lorsqu'un pilote est dûment signé et publié par les voies officielles, Windows Update Le système d'exploitation le distribue de manière très transparente. Les utilisateurs peuvent ainsi facilement recevoir des versions mises à jour et corrigées sans avoir à effectuer de recherche manuelle, avec la garantie qu'elles ont passé les filtres de Microsoft.

Le problème survient lorsque vous devez installer conducteurs qui ne sont pas signés numériquement ou dont la signature n'est plus acceptée par les politiques actuelles (par exemple, lors de l'utilisation d'un matériel ancien sur des systèmes récents). Dans ces cas, Windows bloque l'installation ou affiche des avertissements répétés, obligeant à recourir à des solutions plus avancées pour poursuivre.

Méthodes d'installation de pilotes non signés (et leurs risques)

Il existe plusieurs façons d'installer des pilotes qui ne respectent pas les politiques de signature, mais il est essentiel de garder à l'esprit que Chaque méthode comporte un niveau de risque différentUn réglage temporaire qui est annulé au redémarrage n'est pas la même chose que la désactivation complète des contrôles d'intégrité.

Une méthode couramment utilisée est Démarrer Windows en désactivant temporairement l'utilisation obligatoire des pilotes signésPour ce faire, redémarrez votre ordinateur en accédant aux options avancées (par exemple, depuis le menu Démarrer, en maintenant la touche Maj enfoncée tout en cliquant sur Redémarrer), puis allez dans Dépannage > Options avancées > Paramètres de démarrage et sélectionnez l'option « Désactiver la vérification de la signature des pilotes ». Le système démarrera alors sans exiger de signature, ce qui vous permettra d'installer le pilote. Au prochain redémarrage, la protection sera automatiquement réactivée.

Une autre option, disponible uniquement en Windows 10/11 Pro et éditions supérieuresPour ce faire, utilisez l'Éditeur de stratégie de groupe (gpedit.msc). Dans Configuration utilisateur > Modèles d'administration > Système > Installation des pilotes, modifiez la stratégie « Signature de code pour les pilotes de périphériques » et désactivez-la. Après redémarrage, Windows sera beaucoup plus tolérant envers les pilotes non signés ou ceux dont la signature est douteuse.

Pour les scénarios de test et de développement, il existe ce que l'on appelle Mode d'essai Le mode test de Windows s'active depuis la console d'administration en exécutant la commande bcdedit. Il permet de charger des pilotes signés avec des certificats de test sans passer par l'infrastructure publique. Dans ce mode, un filigrane apparaît généralement sur le bureau pour indiquer que le système est en mode test.

Enfin, il y a l'option la plus extrême : désactiver complètement la vérification de l'intégrité des pilotes L'utilisation de bcdedit.exe (paramètre nointegritychecks) rend le système totalement vulnérable à l'installation de n'importe quel pilote, légitime ou non, et ne doit être employée que dans des cas très spécifiques et en pleine connaissance de cause.

Les dangers réels de la signalisation invalidante du conducteur

Désactiver cette protection n'est pas qu'un simple désagrément, mais cela ouvre la porte à L'une des menaces les plus difficiles à détecter : les rootkits au niveau du piloteCes programmes sont installés comme s'il s'agissait de pilotes légitimes, mais une fois chargés, ils disposent des autorisations SYSTÈME et de la capacité de surveiller ou de manipuler le système à un niveau très bas.

Un rootkit de ce type peut intercepter le trafic internet, insérer de faux certificats, rediriger les connexions vers des sites contrôlés par un attaquant, bloquer l'installation d'antivirus et faciliter l'infiltration d'autres logiciels malveillants. Tout cela peut se faire quasiment sans laisser de traces pour l'utilisateur, et même pour de nombreuses solutions de sécurité traditionnelles.

En opérant avec les privilèges les plus élevés, ces pilotes malveillants sont pratiquement invisible et difficile à éliminerDans de nombreux cas, la seule solution réaliste implique formatear Réinstaller l'intégralité du PC et repartir de zéro représente une perte considérable de temps et de données en l'absence de sauvegardes à jour.

Par conséquent, lorsqu'une application vous demande de désactiver la vérification de la signature des pilotes pour installer « un truc magique », il est sage de se méfier. Dans la mesure du possible, il est préférable de… recherchez des alternatives ou des versions signéesmême si cela implique de renoncer à certains matériels obsolètes ou à certaines fonctionnalités spécifiques.

Pilotes Windows versus pilotes du fabricant

Lors de l'installation de périphériques et de composants, Windows propose généralement pilotes génériques Ces pilotes vous permettent d'utiliser le matériel de façon basique. Par exemple, une imprimante multifonction peut imprimer sans problème avec le pilote générique, mais si vous souhaitez numériser, utiliser le chargeur automatique de documents ou accéder aux options avancées, vous aurez presque certainement besoin du pilote officiel du fabricant.

Il en va de même pour les cartes son, les cartes graphiques et autres périphériques complexes : avec des pilotes génériques, l’ordinateur fonctionnera, mais vous perdrez des fonctionnalités, des optimisations de performances ou des outils de configuration avancés. Dans de nombreux cas, les pilotes officiels offrent également ces fonctionnalités. corrections de bugs spécifiques qui n'atteignent jamais les pilotes génériques de Microsoft.

L'endroit approprié pour télécharger ces pilotes est toujours le site officiel du fabricant de matérielLorsque vous effectuez une recherche sur Google, vous verrez souvent apparaître en premier des pages tierces remplies de programmes de téléchargement ou d'installation de pilotes suspects. Si le lien ne provient pas du domaine du fabricant, il est préférable de l'ignorer.

Si la signature des pilotes reste activée, de nombreux packages douteux seront bloqués par Windows dès qu'il détectera qu'il s'agit de logiciels invalides ou que leurs signatures sont incorrectes. Cela constitue une protection supplémentaire contre les installateurs maladroits ou malveillants.

Cas pratique : Erreur de certificat de signature avec les pilotes GPU sous Windows 7

Sur les ordinateurs dotés de systèmes plus anciens tels que Windows 7 64 bitsIl est relativement fréquent de rencontrer des problèmes lors de l'installation de pilotes modernes pour les cartes graphiques ou d'autres périphériques récents. Un exemple typique est l'erreur « Les certificats de signature ne sont pas installés. Veuillez installer les certificats requis » lors de la tentative d'installation de pilotes pour Nvidia pour les GPU comme la GTX 1060 ou la GTX 950.

Dans de nombreux cas, même si l'utilisateur désactive la signature des pilotes au démarrage, ces derniers cessent de fonctionner après un redémarrage, car la politique de signature est réactivée. Des solutions telles que l'installation de toutes les versions précédentes du pilote, l'utilisation d'installateurs alternatifs (comme Snappy Driver Installer), l'application de mises à jour de prise en charge SHA-2 (comme KB3033929) ou la réinstallation depuis le Gestionnaire de périphériques ont été tentées sans succès.

Une solution pratique qui a fonctionné consiste à extraire manuellement le contenu de la version d'installation 474.11 (dernier pilote WHQL pour Windows 7) Dans un dossier, puis depuis le Gestionnaire de périphériques, mettez à jour le pilote de la carte graphique en sélectionnant l'option permettant de rechercher le pilote sur l'ordinateur et en indiquant ce dossier. Cette méthode peut échouer avec les versions ultérieures, telles que la 474.14, si l'assistant ne reconnaît pas les fichiers INF comme étant valides pour ce système.

Ce type de cas illustre à quel point l'équilibre entre conducteurs récents, certificats SHA-2 et OS n'est plus pris en chargeIl devient de plus en plus difficile d'installer — et de sécuriser — des pilotes modernes sur des plateformes plus anciennes qui ne reçoivent pas de mises à jour ni de correctifs de sécurité.

Comment détecter et résoudre les problèmes liés aux pilotes défectueux

Même si les conducteurs sont correctement signalés, ils peuvent s'endommager ou devenir incohérent Cela peut se produire pour de nombreuses raisons : conflits avec d’autres programmes, logiciels malveillants, installations interrompues, mises à jour Windows qui ne se terminent pas correctement, etc. Dans ce cas, le périphérique concerné cesse généralement de fonctionner ou fonctionne de manière erratique.

Le premier outil de diagnostic est le Administrateur de l'appareilUn clic droit sur le bouton Démarrer, suivi de la sélection de l'option correspondante, ouvre la liste complète du matériel détecté. Si un périphérique présente des problèmes de pilote, il est signalé par une icône d'avertissement jaune.

Dans ce cas, une première tentative consiste à faire un clic droit sur le périphérique, sélectionner « Mettre à jour le pilote » et laisser Windows rechercher un pilote plus adapté, soit localement, soit via Windows Update. Si cela ne fonctionne pas, vous pouvez désinstaller le périphérique (en conservant ou non le pilote) et redémarrer l'ordinateur pour que Windows tente de le réinstaller.

De plus, Windows inclut un dépanneur de matériel et de périphérique Dans le panneau Paramètres, et plus précisément dans la section « Mise à jour et sécurité » > « Dépannage », cet assistant analyse le système à la recherche d'anomalies et propose des actions automatisées pour restaurer le fonctionnement de certains pilotes.

Si une mise à jour spécifique d'un pilote est à l'origine du problème, il peut être utile d'utiliser l'option de « Retour à la manette précédente » Dans l'onglet « Pilote » des propriétés du périphérique, si Windows conserve la version précédente, cette opération rétablit la version précédente et peut restaurer la stabilité du système.

Visualisez et analysez les pilotes tiers installés sur Windows

Pour avoir un meilleur contrôle sur ce qui est installé sur le système, des outils tiers tels que Driverview L'outil de Nirsoft affiche une liste détaillée de tous les pilotes installés sur votre ordinateur. C'est un utilitaire gratuit et portable qui simplifie considérablement l'audit des pilotes.

DriverView utilise un code couleur très simple : Les pilotes Microsoft dotés d'une signature numérique valide apparaissent sur fond blanc.Les pilotes tiers (fournis par les fabricants ou provenant de logiciels supplémentaires) sont surlignés en rouge. Cela permet d'identifier rapidement les éléments qui ne dépendent pas directement du système d'exploitation.

La liste peut être triée par colonnes, par exemple par « Société » pour regrouper tous les pilotes d'une même société. De plus, le menu Affichage propose généralement une option permettant de masquer tous les pilotes Microsoft et d'afficher uniquement les pilotes tiers, ce qui vous permet de vous concentrer sur ceux susceptibles de provoquer des conflits.

Un double-clic sur une entrée ouvre une fenêtre avec informations détaillées sur le conducteurVersion, chemin complet, description, fabricant, date de mise en ligne, etc. Dans le cas de pilotes inconnus ou suspects, ces données permettent de déterminer s'ils font partie d'un programme que nous utilisons réellement ou s'il est conseillé d'approfondir l'enquête et même de les désinstaller.

Au vu de ce tableau d'ensemble, il est clair que Signatures et certificats des pilotes sous Windows Il ne s'agit pas d'une simple formalité, mais d'un élément fondamental pour garantir la stabilité et la sécurité du système. Comprendre comment les pilotes sont signés, quelles exigences varient d'une version de Windows à l'autre, quels outils de validation existent et comment réagir lorsqu'un pilote n'est pas signé ou présente une défaillance nous permet d'optimiser l'utilisation de notre matériel tout en restant vigilants face aux menaces les plus discrètes.