Discussion :

[seb2501]

Bonjour à tous,

Je suis un petit éditeur d'une solution de planning sous windows (client lourd), dont la version de démo est téléchargeable directement sur mon site.

Depuis l'arrivée de windows 8, j'ai eut de plus en plus de soucis liés au "smartscreen" de windows, indiquant que l'application n'est sûre, et bla bla bla... évidement on peu le désactiver, mais si je commence à mettre une page explicative sur comment baisser le niveau de sécurité du PC pour pouvoir installer mon application, ça ne fait pas franchement très sérieux face à un client.

Je me suis donc résigné à commander un certificat de code chez Comodo, démarches assez chiantes et longues à faire, en plus du coût engendré par l'achat du certificat.

A l'instant j'ai reçu mon certificat et signé mon installeur (fait avec NSIS), je remet le tout en ligne, télécharge l'application, et là : Smartscreen apparaît toujours (mais avec mes infos éditeur me direz vous ! ) :



Quand l'utilisateur lance l'installation (si tant est qu'il n'ai pas pris peur et tout fermé avant), la boite de dialogue de l'install n'est plus jaune mais bien bleue, avec mon nom qui apparaît, prouvant que l'installeur est signé.

Avez vous un retour d’expérience sur ce problème ?

Non seulement microsoft permet le racket des éditeurs par les organismes de certification, mais en plus se permet de ne toujours pas considérer comme sûre une application signée correctement.

Depuis un an, mes contacts clients ne cessent de diminuer au fur et à mesure que Windows 8 se diffuse, je suis persuadé que ceci est lié à Smartscreen (je ne communique que par l'intermédiaire de mon site web) et c'est ce qui m'a poussé à acheter un certificat. Si maintenant même un certificat ne change rien, on fait quoi en tant que "petit" éditeur....? chômage ?

Sébastien,

[GuruuMeditation]

Je ne connais pas trop SmartScreen, mais il n'y a pas un système de "réputation"? Et si on veut desctiver ça, c'est via un certificat spécial (EV ?) qui est plus cher, bien évidemment....

[seb2501]

J'ai recontacté mon revendeur de certificat entre temps, et il m'à donné une info complémentaire :

En plus de la certification, smartscreen (qui est en fait un mouchard), compte le nombre de téléchargements et d'installations réalisés pour chaque logiciel. Il faut donc un certain nombre de téléchargements du fichier avant qu'il ne soit plus bloqué par smartscreen. Et ce nombre de téléchargement est en fait assez faible (une dizaine).

Le revendeur m'à donc conseillé de télécharger mon soft et de l'installer une 10 à 12 fois afin de ne plus voir l'alerte smartscreen, ce que j'ai fait, et qui semble fonctionner.

Maintenant il faut que je trouve un autre poste windows 8 avec une autre ip, pour bien confirmer que la restriction n'est pas levée uniquement localement sur mon poste (à ce sujet, si quelqu'un parmis vous possède un windows 8 avec smartscreen d'actif, et quelques minutes à perdre pour moi, je pourrai communiquer l'URL de mon site en MP afin qu'il puisse faire le test sur son poste).

Et sinon, comme le dit GuruuMeditation dans le précédent message, il semble en effet que les certificats dits "EV" (Extended Validation), beaucoup plus chers, permettent d'être considéré comme sûr instantanément....forcement.... dixit microsoft : "Programs signed by an EV code signing certificate can immediately establish reputation with SmartScreen reputation services even if no prior reputation exists for that file or publisher."

[olpons]

Bonjour,

Je suis dans la même situation avec mon logiciel édité depuis des années.
Je me demande dans quelle mesure ce système est légal. Quoi qu'en dise Microsoft il contraint les éditeurs à payer un certificat jusqu'alors inutile.

Quand je lis que l'on peut "augmenter" la fiabilité d'un logiciel sans certificat en le téléchargeant plusieurs fois depuis des ordinateurs différents vous croyez vraiment que ça marche ? Moi j'essaie ça depuis plusieurs mois avec différentes adresses IP / différents postes (clients, amis...) ça n'a rien changé.

C'est tout simplement de la folie : 449$ par an pour un certificat EV et 223$ par an pour un certificat standard chez digicert.
Chez Symantec, c'est pire ! $499 par an.
Voilà un système juteux mis en place par Microsoft avec quelques copains pour engranger des dollars sur le dos des développeurs.

Pour moi, quoi qu'on en dise, SmartScreen est un système de racket qui finira par avoir la peau des petits éditeurs. C'est la mort annoncée du freeware.

Olive