Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender SmartScreen vérifie la réputation des fichiers téléchargés avant de les autoriser à s’exécuter. Comprendre le fonctionnement de la réputation peut vous aider à éviter les avertissements lorsque les utilisateurs téléchargent ou exécutent vos fichiers.
Conseil / Astuce
La façon la plus simple d’éviter les avertissements SmartScreen consiste à publier via le Microsoft Store. Les applications distribuées dans le Windows Store sont signées par un certificat Microsoft et ne sont jamais soumises à des avertissements de téléchargement SmartScreen. Le reste de cet article s’applique aux applications distribuées en dehors du Windows Store.
Fonctionnement de la réputation de SmartScreen
SmartScreen évalue deux signaux lorsqu’un utilisateur télécharge et exécute un fichier :
- Réputation de l'éditeur — Le fichier est-il signé ? Est-ce que le certificat de signature provient d’un éditeur connu et approuvé ?
- Réputation du hachage de fichier — Ce fichier spécifique a-t-il été téléchargé par les utilisateurs sans qu'aucun comportement malveillant ne soit détecté ?
Une réputation négative ou inconnue pour le hachage d’un fichier ou le certificat de son éditeur peut entraîner l’affichage d’avertissements. Même lorsqu’il est signé, un binaire nouvellement créé peut toujours afficher un avertissement SmartScreen jusqu’à ce que son empreinte ou son certificat de l’éditeur accumule suffisamment de preuves de réputation positive.
Lorsqu’un fichier n’est pas signé, la réputation SmartScreen doit être générée pour chaque nouvelle version de vos fichiers, en commençant par zéro réputation. La réputation ne peut pas être transférée des versions précédentes, sauf si les deux ont été signées à l’aide de la même identité d’éditeur.
Options de certificat et implications de SmartScreen
Pour réduire la probabilité d’interruption, vous devez signer tous vos fichiers avec un certificat valide.
| Type de certificat | Comportement du premier téléchargement lié à SmartScreen |
|---|---|
| Microsoft Store | ✅ Aucun avertissement , couvert par le certificat de Microsoft |
| Certificat valide (OV/EV) | ⚠️ Avertissement : l’application marquée comme non reconnue jusqu’à ce que la réputation s’accumule ; le nom de l’éditeur vérifié s’affiche |
| Aucune signature | |
| Certificat auto-signé | ⚠️ Avertissement : même comportement qu’aucune signature |
Note
Les certificats EV ne contournent plus SmartScreen. Il y a des années, la signature de fichiers avec un certificat de signature de code EV (Extended Validation) entraînerait une réputation SmartScreen positive par défaut, mais ce comportement n’existe plus. Les certificats EV peuvent être importants pour l’approvisionnement d’entreprise, mais ils n’ont plus d’impact sur le comportement de SmartScreen. Le paiement d’une prime pour EV uniquement pour éviter les avertissements SmartScreen n’est plus justifié.
Microsoft Store (recommandé)
Les applications publiées via le Microsoft Store sont ré-signées par Microsoft et ont une réputation complète. Les utilisateurs ne voient jamais d’avertissement SmartScreen pour une application installée dans le Windows Store.
Signature d’artefact (anciennement signature de confiance)
Artifact Signing (anciennement Signature approuvée) est le service de signature de code recommandé de Microsoft pour la distribution non-store :
- Coût: Environ 10 $ par mois
- Pas de token matériel requis — intégration directe avec les pipelines CI/CD (GitHub Actions, Azure DevOps)
- Validation de l’identité requise : Microsoft valide votre identité avant d’émettre des certificats
- Comportement SmartScreen : la réputation s’accumule au fil du temps en fonction du volume et du comportement de téléchargement
À attendre lorsque vous publiez une nouvelle application
- Premiers téléchargements : Les utilisateurs peuvent voir une invite SmartScreen indiquant que l’application n’est pas reconnue. Pour les applications signées, le nom de l’éditeur s’affiche. Les utilisateurs doivent continuer uniquement après avoir vérifié la source.
- À mesure que les téléchargements s’accumulent : La réputation smartScreen s’accumule automatiquement. L’invite s’arrête une fois que le hachage de fichier dispose d’un historique de téléchargement suffisant. Il n’y a pas de seuil exact, mais cela peut prendre plusieurs semaines, voire des centaines de nouvelles installations réalisées par un large public.
- Nouvelle version : La signature de fichiers à l’aide d’un certificat approuvé peut permettre à la réputation du certificat de se développer, potentiellement évitant les avertissements sur les nouveaux fichiers signés par le même certificat approuvé. Les fichiers non signés doivent reconstruire leur réputation à partir de zéro avec chaque mise à jour.
Il n’est pas nécessaire (ni mécanisme) de soumettre manuellement un fichier pour la révision de réputation SmartScreen pour les appareils des consommateurs. La réputation se construit de manière organique par le volume de téléchargement.
Note
Les environnements d’entreprise peuvent avoir un comportement SmartScreen différent en fonction de la configuration de la stratégie ; par exemple, la possibilité de contourner un avertissement SmartScreen peut être désactivée. Les entreprises peuvent distribuer des fichiers à partir d’emplacements Intranet approuvés qui ne sont pas soumis à la révision SmartScreen. Les administrateurs informatiques d’entreprise peuvent éventuellement envoyer des fichiers à réviser via le portail Sécurité Microsoft Intelligence. Cela peut accélérer la confiance pour les déploiements internes ou managés.
Réduction des avertissements SmartScreen dans la pratique
- Publish dans le Microsoft Store où c’est possible , c’est la façon la plus fiable d’éviter entièrement les avertissements
- Signer chaque version : les fichiers non signés ne peuvent pas hériter d’une réputation positive du certificat de signature
- Ne pas modifier les fichiers signés - Évitez de modifier les fichiers après la signature, car cela peut interrompre la signature en fonction de la configuration du client
- Ne signez pas d’applications potentiellement indésirables : évitez de signer un fichier qui présente un comportement d’application malveillant ou potentiellement indésirable, ou le certificat peut développer une réputation négative
- Utiliser une identité de signature cohérente : la modification de votre certificat de signature affecte le signal d’approbation de l’éditeur
- Communiquer avec les utilisateurs précoces : pour les nouvelles applications, informez les utilisateurs bêta qu’ils peuvent voir une invite SmartScreen lors du premier téléchargement et qu’ils ne doivent continuer qu’après avoir vérifié l’éditeur et confirmé qu’ils approuvent la source de téléchargement
Conseil / Astuce
Sur Windows 11 appareils, la fonctionnalité Smart App Control peut remplacer la réputation de l’application SmartScreen. Smart App Control bloque l’exécution de fichiers non signés, sauf si le fichier a une réputation positive. Les vérifications de signature Smart App Control s’appliquent à tous les fichiers exécutables, pas seulement ceux téléchargés à partir d’Internet.
Contenu connexe
- Choose un chemin de distribution pour votre application Windows
- l’état actuel des fonctionnalités de distribution d’applications Windows
- Signer un package d’application à l’aide de SignTool
- Documentation sur la signature d’artefacts (anciennement signature approuvée)
- Exigences du programme de certification racine de confiance de Microsoft
Collaborer avec nous sur GitHub
La source de ce contenu se trouve sur GitHub, où vous pouvez également créer et examiner les problèmes et les demandes de tirage. Pour plus d’informations, consultez notre guide du contributeur.
Windows developer