Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Windows Defender SmartScreen vérifie la réputation des fichiers téléchargés avant de les autoriser à s’exécuter. Comprendre le fonctionnement de la réputation vous aide à définir les bonnes attentes pour vos utilisateurs et à choisir la stratégie de signature appropriée.
Conseil / Astuce
La façon la plus simple d’éviter les avertissements SmartScreen consiste à publier via le Microsoft Store. Les applications distribuées dans le Windows Store portent le certificat de Microsoft et ne sont jamais soumises à des avertissements de téléchargement SmartScreen. Tout ce qui se trouve dans cet article s’applique aux applications distribuées en dehors du Windows Store.
Fonctionnement de la réputation de SmartScreen
SmartScreen évalue deux éléments lorsqu’un utilisateur télécharge un fichier :
- Réputation de l'éditeur : le certificat de signature d'un éditeur connu et approuvé ?
- Réputation du hachage de fichier : ce fichier spécifique a-t-il été téléchargé par suffisamment d’utilisateurs sans être signalé comme malveillant ?
Les deux signaux sont nécessaires pour une expérience de téléchargement propre (sans avertissement). Un nouveau fichier binaire signé d’un éditeur approuvé reçoit toujours une invite SmartScreen jusqu’à ce que son hachage accumule suffisamment d’historique de téléchargement.
La réputation SmartScreen est par hachage de fichier : chaque nouvelle build de votre application commence avec une réputation nulle. La réputation n’est pas transférée des versions précédentes.
Ce qui a changé en 2024 : les certificats EV ne contournent plus SmartScreen
Historiquement, les certificats de signature de code de validation étendue (EV) ont accordé une réputation SmartScreen immédiate , un binaire signé EV n’affiche aucun avertissement même lors du premier téléchargement. Ce comportement a été supprimé en 2024 lorsque Microsoft mis à jour les exigences du programme racine approuvé.
Comportement actuel (à partir de 2024) :
| Type de certificat | Comportement du premier téléchargement lié à SmartScreen |
|---|---|
| Aucune signature | ❌ Bloc fort : « Windows protégé votre PC » ; une confirmation supplémentaire de l’utilisateur peut être nécessaire avant que l’application puisse s’exécuter. La stratégie d’entreprise peut empêcher entièrement cette confirmation. |
| Auto-signé | ❌ Bloc fort : certificat non approuvé par défaut ; même comportement que non signé |
| Certificat OV (Organisation Validée) | ⚠️ Avertissement : l’application est marquée comme non reconnue jusqu’à accumulation de la réputation ; Le nom du fournisseur est présenté comme vérifié |
| Certificat EV (validation étendue) | ⚠️ Avertissement : identique à OV pour les nouveaux fichiers (pas de contournement instantané) |
| certificat de signature d'artefact Azure (anciennement signature de confiance) | ⚠️ Avertissement concernant les nouveaux fichiers ; la réputation s'accumule normalement. |
| Microsoft Store | ✅ Aucun avertissement , couvert par le certificat de Microsoft |
Les certificats EV ont toujours de la valeur (ils nécessitent davantage de validation d’identité, ce qui peut être important pour les achats des entreprises), mais ils ne permettent plus de contourner directement SmartScreen. Le paiement d’une prime pour EV uniquement pour éviter les avertissements SmartScreen n’est plus justifié.
Options de certificat et implications de SmartScreen
Microsoft Store (recommandé)
Les applications publiées via le Microsoft Store sont ré-signées par Microsoft et ont une réputation complète. Les utilisateurs ne voient jamais d’avertissement SmartScreen pour une application installée dans le Windows Store.
Signature d’artefact Azure (anciennement Signature de confiance)
La signature d'artefacts Azure (anciennement Signature de confiance) est le service de signature de code recommandé de Microsoft pour la distribution hors Store :
- Coût: Environ 10 $ par mois — beaucoup plus bas que les certificats d’autorité de certification traditionnels
- Pas de token matériel requis — intégration directe avec les pipelines CI/CD (GitHub Actions, Azure DevOps)
- Validation de l’identité requise : Microsoft valide l’identité de votre organisation avant d’émettre des certificats
- Comportement smartScreen : Identique aux certificats OV : la réputation s’accumule au fil du temps en fonction du volume de téléchargement
Certificats OV et EV provenant d’autorités de certification traditionnelles
Les certificats de signature de code traditionnels des autorités de certification (DigiCert, Sectigo, etc.) sont également acceptés. Les certificats OV coûtent généralement de 150 à 300 $ par an ; les certificats EV à partir de 400 $ par an. Les deux ont maintenant un comportement SmartScreen équivalent pour les nouveaux fichiers.
Si vous disposez déjà d’un certificat OV ou EV, il reste valide et fonctionnel. Si vous achetez un nouveau certificat, Azure Signature d'artefacts (anciennement Signature approuvée) est généralement le meilleur choix pour la distribution d'applications Windows.
À attendre lorsque vous publiez une nouvelle application
- Premiers téléchargements : Les utilisateurs peuvent voir une invite SmartScreen indiquant que l’application n’est pas reconnue. Pour les applications signées, le nom de l’éditeur s’affiche : l’avertissement concerne une faible réputation de fichier, et non un éditeur inconnu. Les utilisateurs doivent continuer uniquement après avoir vérifié la source.
- À mesure que les téléchargements s’accumulent : La réputation smartScreen s’accumule automatiquement. L’invite s’arrête une fois que le hachage de fichier dispose d’un historique de téléchargement suffisant. Selon les rapports des développeurs, cela prend généralement plusieurs semaines et des centaines d’installations propres — il n’existe aucun seuil exact que Microsoft publie.
- Nouvelle version : Chaque nouvelle build se lance à neuf : la réputation n'est pas transférée à partir du hachage de la version précédente.
Il n’existe aucun moyen de soumettre manuellement un fichier pour la révision de la réputation SmartScreen pour les points de terminaison consommateur. La réputation se construit de manière organique par le volume de téléchargement.
Conseil / Astuce
Pour les environnements d’entreprise, les administrateurs informatiques peuvent envoyer des fichiers à réviser via le portail Sécurité Microsoft Intelligence. Cela peut accélérer la confiance pour les déploiements internes ou managés, mais n’affecte pas le comportement du consommateur SmartScreen.
Note
Les environnements d’entreprise gérés par Microsoft Defender pour point de terminaison ou Windows Defender Contrôle d’application (WDAC) peuvent avoir un comportement SmartScreen différent en fonction de la configuration de la stratégie. Les administrateurs informatiques peuvent autoriser des certificats d’éditeur ou des hachages de fichiers spécifiques à contourner les vérifications SmartScreen pour les appareils gérés.
Réduction des avertissements SmartScreen dans la pratique
- Publish dans le Microsoft Store où c’est possible , c’est la façon la plus fiable d’éviter entièrement les avertissements
- Signer chaque version : les fichiers non signés affichent un avertissement SmartScreen plus fort que les fichiers signés, et les entreprises peuvent bloquer entièrement les fichiers binaires non signés
- Utilisez une identité de signature cohérente : la modification de votre certificat de signature affecte le signal d’approbation de l’éditeur ; notez que le hachage de chaque nouvelle build commence également par aucune réputation de fichier, quelle que soit la continuité des certificats
- Utilisez la Signature d'Artefacts Azure (anciennement Signature Approuvée) pour la distribution hors-Store ; elle est rentable et s'intègre aux pipelines de build automatisés
- Communiquer avec les utilisateurs précoces : pour les nouvelles applications, informez les utilisateurs bêta qu’ils peuvent voir une invite SmartScreen lors du premier téléchargement et qu’ils ne doivent continuer qu’après avoir vérifié l’éditeur et confirmé qu’ils approuvent la source de téléchargement
Contenu connexe
- Choose un chemin de distribution pour votre application Windows
- l’état actuel des fonctionnalités de distribution d’applications Windows
- Signer un package d’application à l’aide de SignTool
- documentation Azure Artifact Signing (anciennement Signature Approuvée)
- Exigences du programme de certification racine de confiance de Microsoft
Collaborer avec nous sur GitHub
La source de ce contenu se trouve sur GitHub, où vous pouvez également créer et examiner les problèmes et les demandes de tirage. Pour plus d’informations, consultez notre guide du contributeur.
Windows developer