Plusieurs pratiques et mesures de sécurité peuvent vous protéger contre les codes malveillants.
Présentation
Les codes exécutables malveillants, également appelés logiciels malveillants ou virus, sont de plus en plus répandus et peuvent affecter les utilisateurs de 3ds Max. Un logiciel malveillant parvenant à se propager peut entraîner une perte de la propriété intellectuelle et réduire la productivité.
La vulnérabilité la plus fréquente est liée au chargement et à l'exécution automatiques dans 3ds Max d'un code exécutable malveillant via un script comme MAXScript, intégré dans des fichiers de données tels qu'un fichier scène (.max). Les plug-ins et les outils compilés (C++, C#) ou avec scripts (MAXScript, Python) peuvent aussi présenter un risque. Certains scripts malveillants se propagent en modifiant un script existant, ou en créant un script dans le dossier scripts\startup de 3ds Max et en y ajoutant un code permettant leur chargement.
Fichiers vulnérables
Les types de fichiers suivants peuvent contenir un code exécutable malveillant :
- Fichiers de scène 3ds Max et leurs différentes versions (.max, .maxc, .chr, .mat)
- Scripts MAXScript (.ms, .mcr, .mxs et .mse)
- Scripts Python (.py et .pyc)
- Plug-ins C++ (toutes les extensions prises en charge par 3ds Max, .dll et .exe)
- Assemblages .NET (.dll)
- JavaScript
Recommandations
Les meilleures pratiques suivantes contribuent à réduire votre vulnérabilité au code exécutable malveillant:
- Installez 3ds Max dans l'emplacement par défaut des fichiers programme en activant le contrôle de compte d'utilisateur.
- N'exécutez pas 3ds Max avec des privilèges d'administrateur.
- Conservez vos définitions de virus à jour.
- Lors de l'installation de plug-ins tiers, assurez-vous que les fichiers installés sont signés numériquement à l'aide d'un certificat émis par une source reconnue, telle que VeriSign.
- Pour vérifier la signature numérique d'un fichier binaire, ouvrez la boîte de dialogue Propriétés du fichier et accédez à l'onglet Signatures numériques. Si cet onglet n'apparaît pas, cela signifie que le fichier ne comporte pas de signature numérique. Pour plus d'informations, consultez la rubrique Signatures numériques des fichiers exécutables.
- Pour vérifier la signature numérique des fichiers MAXScript, consultez la rubrique Signatures numériques des fichiers script.
- N'exécutez jamais un fichier MAXScript ou Python inconnu sans avoir préalablement vérifié son contenu et la présence éventuelle de code suspect ou malveillant.
Signatures numériques des fichiers exécutables
Une signature numérique est un bloc d'informations chiffrées ajouté à certains fichiers en vue d'en identifier l'auteur et de déterminer si un fichier a été modifié depuis l'application de la signature numérique.
Les fichiers binaires ou texte (script) exécutables dotés de signatures numériques présentent les avantages suivants :
- Les utilisateurs de fichiers exécutables reçoivent des informations fiables sur l'auteur du fichier et sur le fait qu'il n'a pas été modifié en vue d'y ajouter un code malveillant.
- Les auteurs de fichiers exécutables bénéficient d'une vérification fiable qui leur assure que le fichier n'a pas été modifié depuis sa signature numérique.
- Vous pouvez examiner la signature numérique d'un fichier via une chaîne de confiance en consultant le certificat racine publié par une autorité de certification approuvée.
Signatures numériques non valides
Une signature numérique perd sa validité pour les raisons suivantes :
- Le fichier a été modifié après que la signature numérique a été jointe.
- Le fichier a été corrompu lors de son transfert ou au moment où la signature numérique a été jointe.
- Le certificat numérique a été révoqué par l'autorité de certificat.
Remarque : le fait de renommer un fichier n'annule pas la validité de sa signature numérique. De plus, une signature numérique reste valide même après la date d'expiration du certificat utilisé pour la générer.
Signatures numériques et fichiers binaires associés à 3ds Max
Les types de fichiers suivants, fournis avec le produit 3ds Max, sont exécutables et ont été signés numériquement afin d'améliorer la protection : EXE, DLL, DLZ, DLU, DLO, DLM, DLC, DLI, DLT, DLE, DLV, DLK, DLB, DLF, DLR, BMF, BMI, BMS, FLT, GUP, DLH, DLN, DLA, DLS, DLY et DLX.
Pour accéder à la signature numérique d'un fichier exécutable, cliquez sur le fichier avec le bouton droit de la souris, puis choisissez Propriétés. Dans l'onglet Signatures numériques, le nom du signataire apparaît. Cliquez sur le bouton Détails, puis sur Afficher le certificat. Le fichier doit avoir une extension .dll. Par conséquent, il est recommandé d'effectuer une copie du fichier et de remplacer son extension par .dll, puis de vérifier les propriétés du fichier.
Par exemple, la boîte de dialogue Propriétés du fichier ressemble à ce qui suit pour 3dsmax.exe :
Signatures numériques et fichiers MAXScript
Tous les fichiers MAXScript fournis avec 3ds Max sont signés à l'aide d'un certificat numérique. Un script signé permet aux utilisateurs d'en connaître l'auteur et de savoir si des modifications ont été apportées après sa signature.
Les types de fichiers pouvant être signés sont les suivants :
- Fichiers MAXScript : .ms, .mxs, .mcr
- Fichiers de ressources MAXScript : .ms.res, .mxs.res, .mcr.res
3ds Max est également livré avec l'outil de vérification AdskSignTool.exe, que vous pouvez utiliser pour vérifier ces fichiers.
Vous pouvez afficher un message d'utilisation générale en exécutant AdskSignTool sans arguments.
Pour plus d'informations, consultez la rubrique Vérification des scripts signés.